Использованный в атаках троян GriftHorse был обнаружен исследователями Zimperium zLabs, которые первыми заметили глобальную вредоносную кампанию по предоставлению премиальных услуг.
Эта кампания действовала примерно пять месяцев — с ноября 2020 года по апрель 2021 года, после чего вредоносные приложения перестали обновляться.
Вредоносная программа доставлялась с использованием более 200 троянских приложений Android через официальный магазин Google Play и сторонние магазины приложений.
Хотя Google удалил приложения после уведомления об их вредоносном характере, они по-прежнему доступны для загрузки в сторонних репозиториях.
По оценкам исследователей, киберпреступники могли ежемесячно красть миллионы евро за счет регулярных платежей жертв.
Украдены сотни миллионов евро
Для заражения устройств использовалось вредоносное ПО GriftHorse. После заражения, без ведома жертвы, происходила подписка на платные премиальные услуги.
200 троянских приложений не были обнаружены подавляющим большинством антивирусов и систем защиты, и им удавалось избегать обнаружения в течение нескольких месяцев, пока кампания GriftHorse была активна.
Разработчики GriftHorse также позаботились о том, чтобы троянские приложения были распределены по нескольким категориям, чтобы поразить как можно больше жертв.
После установки на смартфон жертвы, эти вредоносные приложения получали доступ к номеру мобильного телефона и использовали его для подписки ничего не подозревающих жертв на премиальные SMS-услуги, которые взимали более 30 евро в месяц с телефонных счетов.
Zimperium zLabs сообщает:
Мы недавно обнаружили агрессивную кампанию мобильных премиальных услуг с более чем 10 миллионами жертв по всему миру, а общая сумма украденного может достигать сотен миллионов евро.
Украденные средства практически невозможно вернуть
Жертвы, которые сразу не заметили подписку сразу (например, те, кто настроил автоплатежи с банковских счетов) вносили регулярные платежи на протяжении месяцев, имея мало возможностей вернуть свои деньги.
Исследователи отмечают:
Получается, что одна из их первых жертв, которая не отключила подписку, потеряла более 200 евро. Совокупные потери жертв составляют огромную прибыль для кибергруппировки.
Статистика показывает, что жертвами атаки во всем мире стали более 10 миллионов пользователей Android. Они несли финансовые потери, в то время как кибергруппировка становилась богаче и более мотивированной.
Хотя многие жертвы еще пытаются вернуть деньги, украденные через премиальную подписку, кибергруппировка, стоящая за трояном GriftHorse, скрылась с сотнями миллионов евро.
Полный список всех троянских приложений, используемых в кампании GriftHorse, доступен в отчете Zimperium zLabs.
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов