研究人员Zimperium已经发现了一个积极的移动优质服务,拥有超过1000万名受害者。被盗的金额可以达到数亿欧元。

这一骗局隐藏在恶意的Android应用程序背后,研究人员将其命名为“木马格里菲斯”。他们估计该组织自2020年11月以来一直活跃。

分布

这些恶意Android应用程序最初通过Google Play和第三方应用程序商店分发。在研究人员向谷歌报告的发现后,将从Google Play商店中删除恶意应用程序。但是,恶意应用程序仍然可以在第三方应用商店中提供,再次证明缺陷申请涉及到手机的潜在危险。

为了提高活动的有效性,本集团将根据其IP地址的地理位置向用户展示页面,并以当地语言解决它们。这种社会工程技巧非常成功,因为用户在当地语言中总是在网站上的信息分享信息。

这个怎么运作

The Grifthorse Trojan认购毫无戒心的用户来支付服务,每月收取溢价达到36美元。

在安装恶意应用程序后立即使用弹出窗口轰炸,告诉他们他们赢得了奖品,需要立即宣称它或者他们会错过机会。当用户接受该报价时,恶意软件将它们重定向到特定于地质的网站,在那里他们必须提交他们的电话号码“验证”。

用户无需进行任何验证,而是注册了一项收费短信服务,每月的话费将超过30欧元。

这类应用通常被称为羊毛制品。根据定义,fleeceware是一种针对移动设备的恶意软件,它收取隐藏的、过高的订阅费用。这些应用程序利用了那些不知道如何取消订阅的用户,在他们删除应用后很长时间内向他们收费。

检测

威胁演员使用一些不同的方法来避免检测。虽然一些用户可能会在电话账单上收取额外收费,但可能需要其他几个月通知。如果他们注意到他们需要了解如何取消订阅,并且没有机会回来。

威胁行为者也非常小心地避免在恶意应用程序中硬编码url。为了创建这些应用,他们使用了移动应用开发框架Apache Cordova。应用程序显示为一个引用HTML、CSS、JavaScript和图片的网页。这使得开发者无需用户手动更新就可以将更新部署到应用程序中。使用这个选项,参与者可以让应用程序获取当前活动的URLC&C服务器

犯罪分子在活动中使用了200多个不同的特洛伊木马应用,除了避免检测外,还允许他们在多个不同类别中传播应用程序的分布,增加潜在受害者的范围。

恶意应用程序的程序员遵循严格的无助使用策略,以避免通过使用典型的恶意软件系列典型的字符串来检测供应商的所有应用程序的所有应用程序。

受害者

通过使用地理特定网站和跨多个类别的应用程序,该活动能够从70多个国家杀死移动用户。基于研究人员收集的英特尔,Grifthorse在过去几个月里感染了超过1000万台设备。

IOC.

的应用程序和散列的完整列表可以找到由研究人员发表的博客

必威平台APPAndroid伪将这些应用程序检测为Android / Trojan.spy.joker.gfth。

保持安全,每个人!