Google Play商店中有200多个应用程序允许网络犯罪分子向受害者的手机发送恶意内容,可能获得了数千万美元的收入
Google Play商店中有200多个应用程序允许网络犯罪分子向受害者的手机发送恶意内容,可能获得了数千万美元的收入
一个心率和脉搏追踪器,一个聊天翻译器,一个史莱姆模拟器游戏,还有一个指纹 "保卫者" …… 移动安全公司 Zimperium 在一份新的分析报告中指出,一个网络犯罪集团利用200多个这样 “低调” 的应用程序,创建了一个提供欺诈性内容的平台,并从受害者那里吸走了数千万美元。
该公司称之为 “GriftHorse” 的平台由一堆不起眼的安卓应用组成 其中最受欢迎的应用的下载量不到100万,大多数应用的下载量要少得多。安装后,这些应用程序每小时都会向用户发出五个弹出式提醒,通知用户赢得了一份所谓的免费礼物。点击弹出窗口会进入一个要求用户提供电话号码的页面。如果受害者输入了电话号码,GriftHorse 服务器就会自动为他们注册几个高级短信服务。
Zimperium 公司终端安全产品战略总监理查德·梅利克(Richard Melick)说,这些低调的应用程序设法在雷达下低飞,避免了反病毒检测。
他说:“这些应用程序本身是晦涩难懂的,但有很多这样的应用程序。它们表面上不是恶意软件,相反,它们实际上是在浏览器中拉入网络内容,这就基本上绕过了很多安全防御”。
GriftHorse 的行动已经取得了巨大的成功。Zimperium 研究人员在他们的分析中指出,这些木马应用程序已经被安装在400万至1700万台设备上,针对70多个国家的用户,每月可能产生120万至350万欧元(140万至410万美元)。该活动自2020年11月以来一直在进行。
该行动的成功之处在于其低调的程序,没有触发反病毒检测或 Google Play Protect 的通知,该服务应该在用户下载应用程序之前进行扫描。这个特洛伊木马程序最初并没有恶意代码,而是在安装后下载了恶意功能,使其真实目的更难确定。
Zimperium 研究人员在分析中说,“总的来说,GriftHorse 安卓木马利用小屏幕、本地信任和错误信息来欺骗用户下载和安装这些安卓木马,以及在接受发送到他们的屏幕的虚假免费奖品时的挫折感或好奇心”。
几乎一半的应用程序(48%)被归类为工具,13%是娱乐;生活方式和个性化应用各占6%。其余的安卓应用则分散在其他15个类别中。
除了偷偷躲过杀毒软件的防御之外,该恶意行为成功的原因还有两个。首先,恼人的弹出式广告可能使一些用户明显感觉到这一恶意,但是,其他人 习惯于弹出式广告的那些人 却成为了攻击的受害者。
用户只想点击一下[广告],让它消失,它利用了用户与手机的接触。
其次,在大多数情况下,高级短信订阅并不附带通知,而且往往可以隐藏在账单上。警惕的消费者有一个优势,那就是他们可以识别出每月账单的增加。然而,如果只有几个员工的电话被入侵,公司就可能不会注意到账单的变化。
这个成功的攻击计划也突出了几十年来对高级短信收费的服务的脆弱性,这是一个完美的欺诈工具。 #ThreatIntelligence #GooglePlay
