Эксперты Zimperium обнаружили вредоноса GriftHorse, нацеленного на Android. Малварь активна с ноября 2020 года и подписывает своих жертв на платные SMS-сервисы. Она уже заразила более 10 млн устройств в 70 странах мира, и считается, что операторы GriftHorse «зарабатывают» от 1,5 до 4 млн долларов в месяц.
Замеченные экспертами версии GriftHorse распространялись через официальный магазин приложений Google Play и сторонние каталоги приложений, как правило, маскируясь под другие безобидные приложения.
Если пользователь устанавливает такое приложение, GriftHorse начинает засыпать его всплывающими окнами и уведомлениями, в которых предлагает различные призы и специальные предложения. Если жертва нажимает на одно из таких уведомлений, ее перенаправляют на страницу, где просят подтвердить номер телефона, якобы чтобы получить доступ к предложению. На самом деле здесь пользователи подписываются на платные SMS-сервисы, стоимость которых порой превышает 30 евро в месяц. Эти деньги в итоге отправляются в карманы операторов GriftHorse.
Исследователи Zimperium, которые отслеживали малварь в течение нескольких месяцев, пишут, что это «одна из самых масштабных кампаний, свидетелями которых была команда zLabs в 2021 году».
Подчеркивается, что создатели GriftHorse хорошо потрудились над качеством своего вредоносного кода, и используют широкий спектр сайтов, вредоносных приложений и личностей разработчиков, чтобы избегать обнаружения.
«Уровень изощренности, использование новых техник и решимость, которую демонстрируют злоумышленниками, позволяли им оставаться незамеченными в течение нескольких месяцев. Помимо использования большого количества приложений, их распространение было очень хорошо спланировано: приложения распределялись по множеству различных категорий, расширяя круг потенциальных жертв, — пишут эксперты. — Эта кампания активно разрабатывалась в течение нескольких месяцев, начиная с ноября 2020 года, а последнее обновление датировано апрелем 2021 года. Это означает, что одна из их первых жертв, если она еще не отключила мошенническую подписку, уже потеряла более 200 евро на момент написания [этого отчета]».
Список, в который входят более 200 приложений, зараженных GrifThorse, можно найти в конце отчета исследователей.