Использованный в атаках троян GriftHorse был обнаружен исследователями Zimperium zLabs, которые первыми заметили глобальную вредоносную кампанию по предоставлению премиальных услуг.
Эта кампания действовала примерно пять месяцев — с ноября 2020 года по апрель 2021 года, после чего вредоносные приложения перестали обновляться.
Вредоносная программа доставлялась с использованием более 200 троянских приложений Android через официальный магазин Google Play и сторонние магазины приложений.
Хотя Google удалил приложения после уведомления об их вредоносном характере, они по-прежнему доступны для загрузки в сторонних репозиториях.
По оценкам исследователей, киберпреступники могли ежемесячно красть миллионы евро за счет регулярных платежей жертв.
Украдены сотни миллионов евро
Для заражения устройств использовалось вредоносное ПО GriftHorse. После заражения, без ведома жертвы, происходила подписка на платные премиальные услуги.
200 троянских приложений не были обнаружены подавляющим большинством антивирусов и систем защиты, и им удавалось избегать обнаружения в течение нескольких месяцев, пока кампания GriftHorse была активна.
Разработчики GriftHorse также позаботились о том, чтобы троянские приложения были распределены по нескольким категориям, чтобы поразить как можно больше жертв.
После установки на смартфон жертвы, эти вредоносные приложения получали доступ к номеру мобильного телефона и использовали его для подписки ничего не подозревающих жертв на премиальные SMS-услуги, которые взимали более 30 евро в месяц с телефонных счетов.
Zimperium zLabs сообщает:
Мы недавно обнаружили агрессивную кампанию мобильных премиальных услуг с более чем 10 миллионами жертв по всему миру, а общая сумма украденного может достигать сотен миллионов евро.
Украденные средства практически невозможно вернуть
Жертвы, которые сразу не заметили подписку сразу (например, те, кто настроил автоплатежи с банковских счетов) вносили регулярные платежи на протяжении месяцев, имея мало возможностей вернуть свои деньги.
Исследователи отмечают:
Получается, что одна из их первых жертв, которая не отключила подписку, потеряла более 200 евро. Совокупные потери жертв составляют огромную прибыль для кибергруппировки.
Статистика показывает, что жертвами атаки во всем мире стали более 10 миллионов пользователей Android. Они несли финансовые потери, в то время как кибергруппировка становилась богаче и более мотивированной.
Хотя многие жертвы еще пытаются вернуть деньги, украденные через премиальную подписку, кибергруппировка, стоящая за трояном GriftHorse, скрылась с сотнями миллионов евро.
Полный список всех троянских приложений, используемых в кампании GriftHorse, доступен в отчете Zimperium zLabs.
Угрозы безопасности
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России
• Apple исправляет уязвимость «нулевого дня» в iOS 18.3.2, iPadOS 18.3.2 и macOS Sequoia 15.3.2
• Microsoft: Вредоносная атака заразила миллион Windows ПК через пиратские сайты и репозитории на GitHub
• Нарушена работа опасного ботнета BadBox: под угрозой полмиллиона Android-устройств
• Microsoft удалила два популярных расширения VSCode с 9 миллионами установок из-за угроз безопасности