GriftHorse Android Trojan

1000万人以上のAndroidユーザーに影響を与えた大規模な攻撃キャンペーンがセキュリティ研究者によって発見されました。彼らは、GriftHorseという名前の新しいモバイルAndroidトロイの木馬を配布していた130を超える武器化されたアプリケーションを発見しました。アプリケーションはさまざまなカテゴリにまたがっており、GooglePlayやサードパーティのアプリストアで入手できました。これらのトロイの木馬化されたアプリケーションに費やされた努力は大きく異なり、基本的な機能を備えているものもありますが、何もできません。

ハッカーの目標とGriftHorseの主な活動は、「フリースウェア」として知られるスキームを実行することです。それは、疑いを持たない犠牲者を高価なプレミアムモバイルサービスに加入させることを含みます。この戦術は、ユーザーが携帯電話会社から次の月額請求書を受け取ったときにのみ明らかになります。平均サブスクリプション価格は月額42ドル（36ユーロ）と見積もられており、研究者たちはGriftHorseの背後にいるサイバー犯罪者が70か国に広がるユーザーから数億ユーロを集めることができたと信じています。

攻撃の詳細

ユーザーのAndroidデバイスに配信されると、GriftHorseは、すぐに請求する必要のある賞品を獲得したことを主張するアラートでユーザーを攻撃し始めます。これらのアラートは、少なくとも1時間に5回生成されます。アラートを操作すると、デバイスのIPアドレス、地理的位置、現地の言語、コンテキストに適したテキストなど、いくつかの要因に基づいて動的に生成されたページがユーザーに表示されます。これらのページでは、被害者に「確認」手段として使用することを装って電話番号を入力するように求めています。代わりに、GriftHorseは被害者を選択したプレミアムモバイルサービスに加入させました。

繰り返し不可能なページを使用し、ハードコードされたURLを回避することに加えて、ハッカーは検出を回避し、気付かれずにいるために追加の戦術も使用しました。たとえば、Apache Cordovaを使用して武器化されたアプリケーションを開発しました。これにより、ユーザーの操作を必要とせずに更新をプッシュできます。さらに、このキャンペーンには、複数のコマンドアンドコントロールサーバーとAES暗号化アルゴリズムを使用した強力な暗号化を備えた高度なインフラストラクチャが含まれます。