Una campaña móvil “robusta” recientemente descubierta ha infectado a 10 millones de usuarios de más de 70 países a través de aplicaciones de Android aparentemente inofensivas que, sin saberlo, se suscriben a servicios premium que cuestan 36 euros (42 dólares) al mes.

Zimperium zLabs apodado malware troyanoGriftCaballo. “Se cree que el plan de generación de dinero ha estado en desarrollo activo en noviembre de 2020, con víctimas reportadas en Australia, Brasil, Canadá, China, Francia, Alemania, India, Rusia, Arabia Saudita, España y el Reino Unido.

En la campaña se utilizaron al menos 200 aplicaciones de troyanos, lo que la convierte en una de las estafas más extendidas descubiertas en 2021. Además, las aplicaciones maliciosas abarcan una variedad de categorías que van desde herramientas y entretenimiento hasta personalización, estilo de vida, citas. variedad de ataques. Una aplicación, Handy Translator Pro, ha acumulado hasta 500.000 descargas.

“Si bien las estafas típicas de servicios premium aprovechan las técnicas de phishing, este fraude global específico se ha ocultado detrás de aplicaciones maliciosas de Android que actúan como troyanos, lo que les permite aprovechar las interacciones de los usuarios para aumentar la prevalencia y la infección”. Ella dijo En un informe conjunto con The Hacker News.

“Estas aplicaciones maliciosas de Android parecen inofensivas al mirar la descripción de la tienda y los permisos requeridos, pero esta falsa sensación de confianza cambia cuando a los usuarios se les cobra mensualmente por el servicio premium al que se suscriben sin su conocimiento y consentimiento”.

Al igual que otros troyanos bancarios, GriftHorse no explota las fallas encontradas en el sistema operativo Android, sino que diseña socialmente a los usuarios para que registren sus números de teléfono en servicios premium de SMS al descargar aplicaciones.

Después de una infección exitosa, las víctimas son bombardeadas con alertas de estafa que prometen un “obsequio” gratuito que, cuando se hace clic, las redirige a una página web geoespecífica para proporcionar sus números de teléfono para su verificación. “Pero en realidad proporcionan su número de teléfono al servicio premium de SMS que comenzará a cargar su teléfono a más de 30 euros al mes”, dijeron los investigadores.

Al construir un flujo de caja estable para el dinero ilícito, la campaña GriftHorse no solo ha logrado pasar desapercibida y evitar la detección de antivirus, sino que también ha generado millones en ingresos recurrentes cada mes, que probablemente superen los cientos de millones del monto total. saqueado de estas víctimas. Los investigadores señalan.

Tras la divulgación responsable de Google, las aplicaciones se eliminaron de Play Store. Pero todavía está disponible en repositorios de aplicaciones de terceros que no son de confianza, enfatizando una vez más los riesgos asociados con la descarga de aplicaciones aleatorias y cómo pueden aparecer como una ruta de penetración de malware.

“En general, el troyano de Android GriftHorse aprovecha las pantallas pequeñas, la confianza local y la desinformación para engañar a los usuarios para que descarguen e instalen troyanos de Android, así como la frustración o la curiosidad al aceptar un premio gratuito falso que se envía a sus pantallas de notificación”. él dijo.