A mobileszközök mindennapi használatának növekedésével nem meglepő az, hogy a kiberbűnözők ezeket a végpontokat célozzák meg és hajtanak végre pénzügyi bűncselekményeket. Pontosan ilyen a GriftHorse Android trójai is, melyet nemrégiben a Zimperium zLabs fedezett fel. Ez egy agresszív mobil prémium szolgáltatási kampány, amely világszerte több, mint 10 millió áldozatot számlál és a felhasználóknak okozott teljes kár összege jócskán eléri a több száz millió eurót.
Míg a tipikus prémium szolgáltatási csalások az adathalász technikákat használják, addig ez a globális átverés trójai programként működő Android alkalmazások mögé rejtőzik és kihasználja a felhasználói interakciókat a nagyobb terjedés és fertőzés érdekében. Ezek a kártékony Android appok ártalmatlannak tűnhetnek, mikor megnézzük a Play Áruházban lévő leírásukat és az általuk kért engedélyeket. Azonban a hamis biztonságérzet hamar elillan, amikor a felhasználónak időszaki díjat számítanak fel egy olyan prémium szolgáltatásért, amelyre úgy iratkozott fel, hogy nem is tudott róla.
A GriftHorse Android trójai 2020 novembere óta futtatja ezt a kampányt és ezeket a rosszindulatú alkalmazásokat eredetileg a Google Playen és egyéb nem ellenőrzött tartalommal feltöltött alkalmazásboltokban terjesztették. A Zimperium zLabs jelentette az eredményeket a Google-nak, aki ellenőrizte a megadott információkat és eltávolította a rosszindulatú alkalmazásokat a Google Play Áruházból. A rosszindulatú applikációk azonban továbbra is elérhetők a nem biztonságos harmadik féltől származó platformokon.
Ezek az alkalmazások fenyegetést jelentenek minden Androidos eszközre, mivel olyan trójai programként működnek, ami a gyanútlan felhasználókat egy olyan prémium szolgáltatásra regisztrálja, mely havi 36 eurós díjjal bír. A kampány több mint 70 ország több millió felhasználóját célozta meg azzal, hogy szelektív rosszindulatú oldalakat jelenített meg a felhasználóknak az IP-címük földrajzi elhelyezkedése és a helyi nyelv alapján. Ez az úgynevezett “social engineering” trükk kivételesen sikeres, mivel a felhasználók szívesebben osztanak meg információkat magukról a saját nyelvükön.
A fertőzött alkalmazás telepítése után az áldozatot figyelmeztetések bombázzák a képernyőn, amely tudatja vele, hogy ő került kisorsolásra és azonnal igényelnie kell nyereményét. Ezek az előugró ablakok óránként többször jelennek meg és ez egészen addig folytatódik, amíg a felhasználó rá nem kattint az értesítésre. A nyeremény meghívásának elfogadása után a rosszindulatú program átirányítja az áldozatot egy weboldalra, ahol az első kérés az, hogy küldje el telefonszámát ellenőrzésre.
A valóságban azonban egy prémium SMS szolgáltatónak küldik be a telefonszámot, amely havonta 30 euró feletti összeggel kezdi el terhelni a telefonszámlát. A legtöbb esetben ráadásul az emberben nem is tudatosul azonnal, hogy csalás áldozata lett, hanem csak akkor realizálja, hogy mi történt, amikor kézhez veszi a következő havi irreálisan magas mobilszámláját. A legrosszabb pedig az egészben az, hogy szinte egyáltalán nincs lehetőség a pénz visszaszerzésére.
Összességében a GriftHorse Android trójai a kis képernyők, a bizalom és a félrevezető információk felhasználásával csábítja el a felhasználókat.
A kampány rendkívül sokoldalú és több, mint 70 ország mobil felhasználóit célozza meg az alkalmazás nyelvének megváltoztatásával és a tartalom megjelenítésével az aktuális felhasználó IP címe alapján. Az összegyűjtött információk szerint a GriftHorse az elmúlt hónapokban több, mint 10 millió áldozat eszközét fertőzte meg. A kampány mögött álló kiberbűnözői csoport jelentős erőfeszítéseket tett annak érdekében, hogy számos alkalmazás, fejlesztői fiók és domain révén maximalizálják jelenlétüket az Android ökoszisztémájában. Az illegális pénzeszközök stabil “cash flow”-ját építették így ki, ezáltal havonta milliós bevételt képesek generálni. Az áldozatok összesített vesztesége hatalmas nyereséget jelent ezen csoport számára.
Az érintett applikációk listája:
| Package Name | App Name | Min | Max |
| com.tra.nslat.orpro.htp | Handy Translator Pro | 500,000 | 1,000,000 |
| com.heartratteandpulsetracker | Heart Rate and Pulse Tracker | 100,000 | 500,000 |
| com.geospot.location.glt | Geospot: GPS Location Tracker | 100,000 | 500,000 |
| com.icare.fin.loc | iCare – Find Location | 100,000 | 500,000 |
| my.chat.translator | My Chat Translator | 100,000 | 500,000 |
| com.bus.metrolis.s | Bus – Metrolis 2021 | 100,000 | 500,000 |
| com.free.translator.photo.am | Free Translator Photo | 100,000 | 500,000 |
| com.locker.tul.lt | Locker Tool | 100,000 | 500,000 |
| com.fin.gerp.rint.fc | Fingerprint Changer | 100,000 | 500,000 |
| com.coll.rec.ord.er | Call Recoder Pro | 100,000 | 500,000 |
| instant.speech.translation | Instant Speech Translation | 100,000 | 500,000 |
| racers.car.driver | Racers Car Driver | 100,000 | 500,000 |
| slime.simu.lator | Slime Simulator | 100,000 | 500,000 |
| keyboard.the.mes | Keyboard Themes | 100,000 | 500,000 |
| whats.me.sticker | What’s Me Sticker | 100,000 | 500,000 |
| amazing.video.editor | Amazing Video Editor | 100,000 | 500,000 |
| sa.fe.lock | Safe Lock | 100,000 | 500,000 |
| heart.rhy.thm | Heart Rhythm | 100,000 | 500,000 |
| com.sma.spot.loca.tor | Smart Spot Locator | 100,000 | 500,000 |
| cut.cut.pro | CutCut Pro | 100,000 | 500,000 |
| com.offroaders.survive | OFFRoaders – Survive | 100,000 | 500,000 |
| com.phon.fin.by.cl.ap | Phone Finder by Clapping | 100,000 | 500,000 |
| com.drive.bus.bds | Bus Driving Simulator | 100,000 | 500,000 |
| com.finger.print.def | Fingerprint Defender | 100,000 | 500,000 |
| com.lifeel.scanandtest | Lifeel – scan and test | 100,000 | 500,000 |
| com.la.so.uncher.io | Launcher iOS 15 | 100,000 | 500,000 |
| com.gunt.ycoon.dle | Idle Gun Tycoo\u202an\u202c | 50,000 | 100,000 |
| com.scan.asdn | Scanner App Scan Docs & Notes | 50,000 | 100,000 |
| com.chat.trans.alm | Chat Translator All Messengers | 50,000 | 100,000 |
| com.hunt.contact.ro | Hunt Contact | 50,000 | 100,000 |
| com.lco.nylco | Icony | 50,000 | 100,000 |
| horoscope.fortune.com | Horoscope : Fortune | 50,000 | 100,000 |
| fit.ness.point | Fitness Point | 50,000 | 100,000 |
| com.qub.la | Qibla AR Pro | 50,000 | 100,000 |
| com.heartrateandmealtracker | Heart Rate and Meal Tracker | 50,000 | 100,000 |
| com.mneasytrn.slator | Mine Easy Translator | 50,000 | 100,000 |
| com.phone.control.blockspamx | PhoneControl Block Spam Calls | 50,000 | 100,000 |
| com.paral.lax.paper.thre | Parallax paper 3D | 50,000 | 100,000 |
| com.photo.translator.spt | SnapLens – Photo Translator | 50,000 | 100,000 |
| com.qibl.apas.dir | Qibla Pass Direction | 50,000 | 100,000 |
| com.caollerrrex | Caller-x | 50,000 | 100,000 |
| com.cl.ap | Clap | 50,000 | 100,000 |
| com.eff.phot.opro | Photo Effect Pro | 10,000 | 50,000 |
| com.icon.nec.ted.trac.ker | iConnected Tracker | 10,000 | 50,000 |
| com.smal.lcallrecorder | Smart Call Recorder | 10,000 | 50,000 |
| com.hor.oscope.pal | Daily Horoscope & Life Palmestry | 10,000 | 50,000 |
| com.qiblacompasslocatoriqez | Qibla Compass (Kaaba Locator) | 10,000 | 50,000 |
| com.proo.kie.phot.edtr | Prookie-Cartoon Photo Editor | 10,000 | 50,000 |
| com.qibla.ultimate.qu | Qibla Ultimate | 10,000 | 50,000 |
| com.truck.roud.offroad.z | Truck – RoudDrive Offroad | 10,000 | 50,000 |
| com.gpsphonuetrackerfamilylocator | GPS Phone Tracker – Family Locator | 10,000 | 50,000 |
| com.call.recorder.cri | Call Recorder iCall | 10,000 | 50,000 |
| com.pikcho.editor | PikCho Editor app | 10,000 | 50,000 |
| com.streetprocarsracingss | Street Cars: pro Racing | 10,000 | 50,000 |
| com.cinema.hall | Cinema Hall: Free HD Movies | 10,000 | 50,000 |
| com.ivlewepapallr.bkragonucd | Live Wallpaper & Background | 10,000 | 50,000 |
| com.in1.tel.ligent.trans.lt.pro | Intelligent Translator Pro | 10,000 | 50,000 |
| com.aceana.lyzzer | Face Analyzer | 10,000 | 50,000 |
| com.tueclert.ruercder | *TrueCaller & TrueRecoder | 10,000 | 50,000 |
| *This fake app is not to be confused by the legitimate Truecaller, by True Software Scandinavia AB | |||
| com.trans.lator.txt.voice.pht | iTranslator_ Text & Voice & Photo | 10,000 | 50,000 |
| com.puls.rat.monik | Pulse App – Heart Rate Monitor | 10,000 | 50,000 |
| com.vidphoremanger | Video & Photo Recovery Manager 2 | 10,000 | 50,000 |
| online.expresscredit.com | Быстрые кредиты 24\7 | 10,000 | 50,000 |
| fit.ness.trainer | Fitness Trainer | 10,000 | 50,000 |
| com.clip.buddy | ClipBuddy | 10,000 | 50,000 |
| vec.tor.art | Vector arts | 10,000 | 50,000 |
| ludo.speak.v2 | Ludo Speak v2.0 | 10,000 | 50,000 |
| battery.live.wallpaperhd | Battery Live Wallpaper 4K | 10,000 | 50,000 |
| com.heartrateproxhealthmonitor | Heart Rate Pro Health Monitor | 10,000 | 50,000 |
| com.locatorqiafindlocation | Locatoria – Find Location | 10,000 | 50000 |
| com.gtconacer | GetContacter | 10,000 | 50000 |
| ph.oto.lab | Photo Lab | 10,000 | 50,000 |
| com.phoneboster | AR Phone Booster – Battery Saver | 10,000 | 50,000 |
| com.translator.arabic.en | English Arabic Translator direct | 10,000 | 50,000 |
| com.vpn.fast.proxy.fep | VPN Zone – Fast & Easy Proxy | 10,000 | 50,000 |
| com.projector.mobile.phone | 100% Projector for Mobile Phone | 10,000 | 50,000 |
| com.forza.mobile.ult.ed | Forza H Mobile 4 Ultimate Edition | 10,000 | 50,000 |
| com.sticky.slime.sim.asmr.nws | Amazing Sticky Slime Simulator ASMR\u200f | 10,000 | 50,000 |
| com.clap.t.findz.m.phone | Clap To Find My Phone | 10,000 | 50,000 |
| com.mirror.scree.n.cast.tvv | Screen Mirroring TV Cast | 10,000 | 50,000 |
| com.frcallworwid | Free Calls WorldWide | 10,000 | 50,000 |
| locator.plus.my | My Locator Plus | 10,000 | 50,000 |
| com.isalamqciqc | iSalam Qibla Compass | 5,000 | 10,000 |
| com.lang.tra.nslate.ltef | Language Translator-Easy&Fast | 5,000 | 10,000 |
| com.wifi.unlock.pas.pro.x | WiFi Unlock Password Pro X | 5,000 | 10,000 |
| com.chat.live.stream.pvc | Pony Video Chat-Live Stream | 5,000 | 10,000 |
| com.zodiac.hand | Zodiac : Hand | 5,000 | 10,000 |
| com.lud.gam.ecl | Ludo Game Classic | 5,000 | 10,000 |
| com.locx.findx.locx | Loca – Find Location | 5,000 | 10,000 |
| com.easy.tv.show.ets | Easy TV Show | 5,000 | 10,000 |
| com.qiblaquran | Qibla correct Quran Coran Koran | 5,000 | 10,000 |
| com.dat.ing.app.sw.mt | Dating App – Sweet Meet | 5,000 | 10,000 |
| com.circ.leloca.fi.nder | R Circle – Location Finder | 5,000 | 10,000 |
| com.taggsskconattc | TagsContact | 5,000 | 10,000 |
| com.ela.salaty.musl.qibla | Ela-Salaty: Muslim Prayer Times & Qibla Direction | 1,000 | 5,000 |
| com.qiblacompassrtvi | Qibla Compass | 1,000 | 5,000 |
| com.soul.scanner.check.yh | Soul Scanner – Check Your | 1,000 | 5,000 |
| com.chat.video.live.ciao | CIAO – Live Video Chat | 1,000 | 5,000 |
| com.plant.camera.identifier.pci | Plant Camera Identifier | 1,000 | 5,000 |
| com.call.colop.chan.cc | Color Call Changer | 1,000 | 5,000 |
| com.squishy.pop.it | Squishy and Pop it | 1,000 | 5,000 |
| com.keyboard.virt.projector.app | Keyboard: Virtual Projector App | 1,000 | 5,000 |
| com.scanr.gdp.doc | Scanner Pro App: PDF Document | 1,000 | 5,000 |
| com.qrrea.derpro | QR Reader Pro | 1,000 | 5,000 |
| com.f.x.key.bo.ard | FX Keyboard | 1,000 | 5,000 |
| photoeditor.frame.com | You Frame | 1,000 | 5,000 |
| call.record.prov | Call Record Pro | 1,000 | 5,000 |
| com.isl.srick.ers | Free Islamic Stickers 2021 | 1,000 | 5,000 |
| com.qr.code.reader.scan | QR Code Reader – Barcode Scanner | 1,000 | 5,000 |
| com.scan.n.ray | Bag X-Ray 100% Scanner | 1,000 | 5,000 |
| com.phone.caller.screnn | Phone Caller Screen 2021 | 1,000 | 5,000 |
| com.trnsteito.nneapp | Translate It – Online App | 1,000 | 5,000 |
| com.mobthinfind | Mobile Things Finder | 1,000 | 5,000 |
| com.piriufffcaer | Proof-Caller | 1,000 | 5,000 |
| com.hones.earcy.laof | Phone Search by Clap | 1,000 | 5,000 |
| com.secontranslapro | Second Translate PRO | 1,000 | 5,000 |
| cal.ler.ids | CallerID | 1,000 | 5,000 |
| com.camera.d.plan | 3D Camera To Plan | 500 | 1,000 |
| com.qib.find.qib.di | Qibla Finder – Qibla Direction | 500 | 1,000 |
| com.stick.maker.waps | Stickers Maker for WhatsApp | 500 | 1,000 |
| com.qbbl.ldironwach | Qibla direction watch (compass) | 500 | 1,000 |
| com.bo.ea.lesss.piano | Piano Bot Easy Lessons | 500 | 1000 |
| com.seond.honen.umber | CallHelp: Second Phone Number | 500 | 1000 |
| com.faspulhearratmon | FastPulse – Heart Rate Monitor | 500 | 1000 |
| com.alleid.pam.lofhys | Caller ID & Spam Blocker | 500 | 1000 |
| com.free.coupon2021 | Free Coupons 2021 | 100 | 500 |
| com.kfc.saudi.delivery.coupons | KFC Saudi – Get free delivery and 50% off coupons | 100 | 500 |
| com.skycoach.gg | Skycoach | 100 | 500 |
| com.live.chat.meet.hoo | HOO Live – Meet and Chat | 100 | 500 |
| easy.bass.booster | Easy Bass Booster | 10 | 50 |
| com.coupongiftsnstashop | Coupons & Gifts: InstaShop | 10 | 50 |
| com.finnccontat | FindContact | 10 | 50 |
| com.aunch.erios.drog | Launcher iOS for Android | 10 | 50 |
| com.blo.cced.als.pam.rzd | Call Blocker-Spam Call Blocker | 10 | 50 |
| com.blo.cced.als.pam.rzd | Call Blocker-Spam Call Blocker | 10 | 50 |
| com.ivemobibercker | Live Mobile Number Tracker | 10 | 50 |
| Total | 4,287,470 | 17,345,450 |
A fenyegetés idővonala 2020 novemberére nyúlik vissza és a legutóbb felfedezett frissítés 2021 áprilisában jelent meg, ami arra utal, hogy a fejlesztők türelme és kitartása miatt az Android felhasználóit fenyegető veszély még mindig jelen van. A statisztikákból kiderül, hogy világszerte több, mint 10 millió Android felhasználó esett áldozatul ennek a kampánynak és jelentős anyagi veszteséget szenvedett el, miközben a bűnözők egyre gazdagabbak és motiváltabbak lettek. Ugyan az érintett áldozatok küzdenek a pénzük visszaszerzéséért, de a kiberbűnözők több millió eurót kerestek meg ezzel a technikailag újszerű és hatékony trójai kampánnyal.
Érdemes a listát átnéznie mindenkinek és amennyiben valamelyik applikáció esetleg telepítve van egy Androidos eszközén, úgy érdemes azt azonnal letörölni.
Forrás: Zimperium
TheMobilTrend 