GriftHorse, il malware Android che abbona a costosi servizi a pagamento: ecco la nuova truffa - Cyber Security 360

L'ANALISI TECNICA

GriftHorse, il malware Android che abbona a costosi servizi a pagamento: ecco la nuova truffa

È in corso un’imponente campagna malevola per la distribuzione del trojan GriftHorse che, promettendo finti premi, ha già infettato milioni di dispositivi Android iscrivendo le vittime a loro insaputa a servizi a pagamento con addebito di oltre 30 euro al mese. Ecco i dettagli e come difendersi

04 Ott 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Si chiama GriftHorse il nuovo trojan per Android che ha già infettato oltre dieci milioni di dispositivi in tutto il mondo: il suo obiettivo è quello di iscrivere gli utenti a loro insaputa a servizi premium a pagamento.

GriftHorse viene distribuito mediante un’imponente campagna di diffusione di servizi SMS a pagamento attivati con l’inganno e avrebbe portato nelle tasche degli scammer un bottino di centinaia di milioni di euro.

La truffa, recentemente scoperta dai ricercatori di Zimperium zLabs, si nasconderebbe dietro applicazioni trojan (più di 200 app Android appartenenti a varie categorie) che, sfruttando le interazioni dell’utente, attiverebbero gli abbonamenti a vari servizi premium con addebiti che possono arrivare anche a 36 euro al mese.

Queste app dannose, inizialmente distribuite tramite Google Play e altri store, sebbene siano state rimosse dallo store a seguito della segnalazione responsabile del team di ricerca, risulterebbero però ancora disponibili su vari repository di app di terze parti non protette, evidenziando come il rischio sia ancora elevato.

I dettagli della campagna GriftHorse

La campagna malevola che prende il nome dallo stesso trojan GriftHorse avrebbe preso di mira milioni di utenti in oltre 70 paesi propinando pagine web ingannevoli con lingua locale selezionata in base alla geolocalizzazione delle vittime, sfruttando disinformazione e frustrazione per indurre gli utenti a scaricare e installare questi trojan Android.

In pratica, dopo l’installazione delle app in oggetto, la vittima viene tempestata, secondo una cadenza temporale programmata, da avvisi che informano di aver vinto un premio da richiedere immediatamente.

Dopo aver accettato l’offerta, il malware reindirizzerebbe la vittima a una pagina web specifica in cui viene chiesto di inviare il proprio numero di telefono per la verifica, ma che in realtà viene impropriamente impiegato per attivare un servizio SMS premium.

La catena d’infezione

Nel tempo (sembrerebbe da novembre 2020) gli aggressori sarebbero riusciti a prendere di mira diversi paesi riuscendo a eludere i controlli di analisi dinamica previsti per la comunicazione e i comportamenti di rete.

Per ospitare il codice dannoso del trojan sui server C2 e sviluppare un’applicazione che eseguisse questo codice in tempo reale, sarebbe stato impiegato il framework di sviluppo di applicazioni mobili legittimo Apache Cordova, un tool per lo sviluppo multipiattaforma su mobile con tecnologie web standard (HTML5, CSS3 e JavaScript).

L’analisi forense del codice sorgente ha permesso ai ricercatori di ricostruire una catena d’infezione suddivisa in tre fasi.

Dopo l’installazione, l’avvio e l’inizializzazione dell’applicazione, il controllo del programma verrebbe affidato a una funzione GetData() per la gestione della comunicazione tra l’applicazione stessa e il server C2 di prima fase, crittografando una richiesta HTTP POST contenente una struttura dati predefinita appConf.

La risposta ricevuta verrebbe, successivamente, decrittografata utilizzando l’algoritmo AES allo scopo di raccogliere l’URL del C2 di seconda fase ed eseguire un’altra richiesta GET tramite la funzione InAppBrowse del tool Cordoba.

Sarebbe la risposta ricevuta in questa fase a contenere il push delle notifiche, visualizzate per cinque volte ogni ora, catturando l’attenzione dell’utente verso l’applicazione stessa.

Il dominio C2 di seconda fase, che è sempre lo stesso indipendentemente dall’applicazione o dalla geolocalizzazione della vittima, porterebbe infine con una richiesta GET verso l’URL di terza fase che visualizzare la pagina web finale (con del codice JavaScript incorporato e deputato all’interazione tra le risorse Web e l’app e alla raccolta di dati IMEI e IMSI rispettivamente del dispositivo mobile e della SIM) con la falsa richiesta di verifica del numero di telefono della vittima che in realtà effettuerebbe un abbonamento a un servizio premium.

L’impatto globale della campagna GriftHorse

GriftHorse è una delle campagne più diffuse a cui il team di ricerca zLabs avrebbe assistito nel 2021 e avrebbe permesso agli attori delle minacce di rimanere inosservati per diversi mesi grazie ad un certo livello di sofisticatezza e uso di nuove tecniche.

La distribuzione delle applicazioni per categoria avrebbe, di fatto, ampliato il bacino delle potenziali vittime.

La campagna GriftHorse che si rivolgerebbe a utenti mobili di oltre 70 paesi (Italia compresa) infettando oltre 10 milioni di dispositivi negli ultimi mesi, avrebbe portato nelle casse del gruppo criminale cospicui fondi illeciti.

In conclusione

Secondo Zimperium zLabs “La tecnica di abuso dei framework di sviluppo multipiattaforma per eludere i controlli è in aumento, rendendo più difficile per i provider AV mobili legacy di rilevare e proteggere i propri clienti”.

Probabilmente la perseveranza e la motivazione mostrate sino adesso dal gruppo criminale e soprattutto l’entità degli introiti ottenuti spingeranno lo stesso attore ad architettare altre campagne malevole in futuro.

Il consiglio, come accennato all’inizio, è sicuramente quello di non scaricare applicazioni da app store di terze parti. E, anche nel caso si effettui il download dal Google Play Store, è sempre bene controllare attentamente l’attendibilità dell’app stessa. A volte, basta una semplice ricerca online per trovare notizie in merito e smascherare così eventuali truffe.

L’elenco completo delle app coinvolte e ulteriori IoC sono disponibili nel rapporto tecnico pubblicato dai ricercatori Zimperium zLabs.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5