GriftHorse Android-Trojaner

Sicherheitsforscher haben eine massive Angriffskampagne aufgedeckt, von der über 10 Millionen Android-Nutzer betroffen waren. Sie fanden über 130 waffenfähige Anwendungen, die einen neuen mobilen Android-Trojaner namens GriftHorse verbreiteten. Die Anwendungen umfassten zahlreiche verschiedene Kategorien und waren sowohl bei Google Play als auch in App-Stores von Drittanbietern verfügbar. Der Aufwand, der in diese trojanisierten Anwendungen gesteckt wurde, variierte stark, wobei einige über grundlegende Funktionen verfügten, aber nicht in der Lage waren, etwas zu tun.

Das Ziel der Hacker und die Hauptaktivität von GriftHorse besteht darin, ein Schema auszuführen, das als "Fleeceware" bekannt ist. Es geht darum, den ahnungslosen Opfern teure Premium-Mobilfunkdienste zu abonnieren. Die Taktik wird erst enthüllt, wenn die Benutzer ihre nächste monatliche Rechnung von ihrem Mobilfunkanbieter erhalten. Da der durchschnittliche Abonnementpreis auf 42 US-Dollar pro Monat (36 Euro) geschätzt wird, glauben die Forscher, dass die Cyberkriminellen hinter GriftHorse Hunderte Millionen Euro von Benutzern in 70 Ländern eintreiben konnten.

Angriffsdetails

Nach der Lieferung auf das Android-Gerät des Benutzers bombardiert GriftHorse ihn mit Warnungen, die behaupten, dass er einen Preis gewonnen hat, der sofort beansprucht werden muss. Diese Warnungen würden mindestens fünfmal pro Stunde generiert. Bei der Interaktion mit der Warnung wird den Benutzern eine dynamisch generierte Seite angezeigt, die auf mehreren Faktoren basiert, wie die IP-Adresse des Geräts, Geolokalisierung, die Landessprache und kontextgerechter Text. Auf diesen Seiten werden die Opfer aufgefordert, ihre Telefonnummern einzugeben, unter dem Vorwand, sie als „Verifizierungsmaßnahme“ zu verwenden. Stattdessen abonniert das GriftHorse das Opfer bei einem ausgewählten Premium-Mobilfunkdienst.

Neben der Verwendung von nicht wiederholbaren Seiten und dem Vermeiden von hartcodierten URLs nutzten die Hacker auch zusätzliche Taktiken, um eine Entdeckung zu vermeiden und unbemerkt zu bleiben. Sie haben beispielsweise mit Apache Cordova waffenfähige Anwendungen entwickelt, die es ihnen ermöglichen, Updates ohne Benutzerinteraktion zu pushen. Darüber hinaus umfasst die Kampagne eine ausgeklügelte Infrastruktur mit mehreren Command-and-Control-Servern und einer starken Verschlüsselung mit dem kryptografischen AES-Algorithmus.