De mobile plattformene blir en stadig mer attraktiv målskive for ondsinnede aktører, og nå er nok en betydelig trussel på ferde i Android-universet, rapporterer sikkerhetsforskere.
Zimperium, som spesialiserer seg på mobilsikkerhet, publiserte nylig en rapport hvor de beskriver en ny, farlig Android-skadevare døpt GriftHorse. Den skal ha infisert rundt 10 millioner enheter i 70 land, inkludert vår egen region.
Svindel-abonnementer
GriftHorse er en trojaner som fungerer ved å svindle til seg penger fra ofre gjennom abonnementer på «premium»-tjenester som startes uten brukernes kjennskap og samtykke.
Trojaneren skjuler seg i en rekke ondsinnede Android-applikasjoner som ved første øyekast ser legitime ut, og som har blitt distribuert på Google Play. Google har verifisert funnene til Zimperium og skal nå ha fjernet de aktuelle appene fra butikken sin, men appene er ifølge sikkerhetsselskapet fortsatt tilgjengelige fra diverse tredjepartskilder.
Om lag 200 applikasjoner er blitt brukt i den omfattende kampanjen, som skal ha startet i november i fjor. En liste over appene kan du finne i Zimperiums blogginnlegg.
Den store majoriteten av de ondsinnede appene tilhører verktøyskategorien, som utgjør nesten halvparten. Den neste største kategorien er underholdning, og resten er fordelt på en lang rekke andre kategorier som sport, utdanning, kommunikasjon og dating.
Etter at infeksjonen har funnet sted fungerer skadevaren ved å først servere brukerne gjentatte varsler med oppfordringer til å akseptere en pris. Ved å akseptere oppfordringen omdirigeres brukeren til en geo-spesifikk nettside hvor man bes om å oppgi telefonnummeret for verifikasjon.
Over 300 kroner per måned
Nummeret man gir fra seg går imidlertid til en SMS-tjeneste som belaster telefonregningen til brukeren, og «prisen» ligger ifølge Zimperium på over 30 euro per måned – eller over 300 norske kroner.
Som sikkerhetsselskapet peker på er metoden ganske smart, i den forstand at svindelen i mange tilfeller kan pågå i flere måneder uten at brukeren oppdager den. I tillegg finnes det få måter å få tilbake pengene på.
Det anslås at bakmennene har stjålet mange millioner euro ved hjelp av trojaneren.
GriftHorse beskrives av sikkerhetsselskapet som en sofistikert skadevare-kampanje, blant annet på grunn av at nettsidene som brukerne sendes er basert på geolokasjonen til IP-adressen. Det innebærer at sidene benytter det lokale språket, noe som oppleves mer tillitsvekkende for brukernes del.
Teknikken gjør det også vanskeligere å bli tatt av sikkerhetsforskere, siden bakmennene opererer ulikt fra land til land uten gjenbruk av de samme domenene, sier Zimperium.
Flere detaljer dinner du i sikkerhetsselskapets detaljerte, tekniske beskrivelse av GriftHorse-skadevaren.
Android-skadevare sprer seg via SMS-meldinger og falske apper – Norge rammet