GriftHorse

Android-skadevare stjeler penger gjennom skjulte abonnementer

Sikkerhetsselskap advarer mot «GriftHorse». Har infisert over 10 millioner brukere.

Ny Android-skadevarekampanje bruker abonnementer til å loppe folk for penger.
Ny Android-skadevarekampanje bruker abonnementer til å loppe folk for penger. (Illustrasjonsfoto: Colourbox/27204020)

Sikkerhetsselskap advarer mot «GriftHorse». Har infisert over 10 millioner brukere.

De mobile plattformene blir en stadig mer attraktiv målskive for ondsinnede aktører, og nå er nok en betydelig trussel på ferde i Android-universet, rapporterer sikkerhetsforskere.

Zimperium, som spesialiserer seg på mobilsikkerhet, publiserte nylig en rapport hvor de beskriver en ny, farlig Android-skadevare døpt GriftHorse. Den skal ha infisert rundt 10 millioner enheter i 70 land, inkludert vår egen region.

Svindel-abonnementer

GriftHorse er en trojaner som fungerer ved å svindle til seg penger fra ofre gjennom abonnementer på «premium»-tjenester som startes uten brukernes kjennskap og samtykke.

Trojaneren skjuler seg i en rekke ondsinnede Android-applikasjoner som ved første øyekast ser legitime ut, og som har blitt distribuert på Google Play. Google har verifisert funnene til Zimperium og skal nå ha fjernet de aktuelle appene fra butikken sin, men appene er ifølge sikkerhetsselskapet fortsatt tilgjengelige fra diverse tredjepartskilder.

Om lag 200 applikasjoner er blitt brukt i den omfattende kampanjen, som skal ha startet i november i fjor. En liste over appene kan du finne i Zimperiums blogginnlegg.

Den store majoriteten av de ondsinnede appene tilhører verktøyskategorien, som utgjør nesten halvparten. Den neste største kategorien er underholdning, og resten er fordelt på en lang rekke andre kategorier som sport, utdanning, kommunikasjon og dating.

Etter at infeksjonen har funnet sted fungerer skadevaren ved å først servere brukerne gjentatte varsler med oppfordringer til å akseptere en pris. Ved å akseptere oppfordringen omdirigeres brukeren til en geo-spesifikk nettside hvor man bes om å oppgi telefonnummeret for verifikasjon.

Skjermbilde.
Skadevaren har rammet minst 70 land, ifølge Zimperium, her markert i rødt. Foto: Zimperium

Over 300 kroner per måned

Nummeret man gir fra seg går imidlertid til en SMS-tjeneste som belaster telefonregningen til brukeren, og «prisen» ligger ifølge Zimperium på over 30 euro per måned – eller over 300 norske kroner.

Som sikkerhetsselskapet peker på er metoden ganske smart, i den forstand at svindelen i mange tilfeller kan pågå i flere måneder uten at brukeren oppdager den. I tillegg finnes det få måter å få tilbake pengene på.

Det anslås at bakmennene har stjålet mange millioner euro ved hjelp av trojaneren.

GriftHorse beskrives av sikkerhetsselskapet som en sofistikert skadevare-kampanje, blant annet på grunn av at nettsidene som brukerne sendes er basert på geolokasjonen til IP-adressen. Det innebærer at sidene benytter det lokale språket, noe som oppleves mer tillitsvekkende for brukernes del.

Teknikken gjør det også vanskeligere å bli tatt av sikkerhetsforskere, siden bakmennene opererer ulikt fra land til land uten gjenbruk av de samme domenene, sier Zimperium.

Flere detaljer dinner du i sikkerhetsselskapets detaljerte, tekniske beskrivelse av GriftHorse-skadevaren.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen