Uma campanha móvel “agressiva” recém-descoberta infectou mais de 10 milhões de usuários em mais de 70 países por meio de aplicativos Android aparentemente inócuos que inscrevem os indivíduos em serviços premium que custam € 36 (~ $ 42) por mês sem o seu conhecimento.
O Zimperium zLabs apelidou o trojan malicioso de “GriftHorse”. Acredita-se que o esquema de geração de dinheiro esteja em desenvolvimento ativo a partir de novembro de 2020, com vítimas relatadas na Austrália, Brasil, Canadá, China, França, Alemanha, Índia, Rússia, Arábia Saudita, Espanha, Reino Unido e EUA.
Nada menos que 200 aplicativos de trojan foram usados na campanha, tornando-se um dos golpes mais difundidos já descobertos em 2021. Além do mais, os aplicativos maliciosos atendiam a um conjunto variado de categorias, desde ferramentas e entretenimento até personalização, estilo de vida, e Namoro, efetivamente ampliando a escala dos ataques. Um dos aplicativos, o Handy Translator Pro, acumulou até 500.000 downloads.
“Enquanto os golpes de serviço premium típicos tiram proveito das técnicas de phishing, este golpe global específico se esconde atrás de aplicativos Android maliciosos que agem como cavalos de Tróia, permitindo que ele aproveite as interações do usuário para aumentar a disseminação e a infecção”, disseram os pesquisadores do Zimperium Aazim Yaswant e Nipun Gupta em um relatório compartilhado com The Hacker News.
“Esses aplicativos Android maliciosos parecem inofensivos quando observamos a descrição da loja e as permissões solicitadas, mas essa falsa sensação de confiança muda quando os usuários são cobrados mês a mês pelo serviço premium que assinaram sem seu conhecimento e consentimento.”
Como outros cavalos de Troia bancários, o GriftHorse não explora falhas no sistema operacional Android, mas, em vez disso, cria socialmente os usuários para que assinem seus números de telefone em serviços SMS premium ao baixar os aplicativos.
Após uma infecção bem-sucedida, as vítimas são bombardeadas com alertas enganosos que prometem um “PRESENTE” gratuito que, ao ser clicado, os redireciona para uma página específica de localização geográfica para enviar seus números de telefone para verificação. “Mas, na realidade, eles estão enviando seu número de telefone a um serviço premium de SMS que passaria a cobrar mais de € 30 por mês”, disseram os pesquisadores.
Após a divulgação responsável ao Google, os aplicativos foram removidos da Play Store. Mas eles continuam disponíveis em repositórios de aplicativos de terceiros não confiáveis, mais uma vez ressaltando os riscos associados ao sideload de aplicativos arbitrários e como eles podem surgir como uma rota de intrusão para malware.
“No geral, o cavalo de Troia GriftHorse Android tira proveito de telas pequenas, confiança local e desinformação para induzir os usuários a baixar e instalar esses cavalos de Troia Android, bem como a frustração ou curiosidade ao aceitar o falso prêmio gratuito enviado por spam em suas telas de notificação”, concluíram Yaswant e Gupta.
fonte THN
