GriftHorse Android Trojan

Los investigadores de seguridad han descubierto una campaña de ataque masivo que ha impactado a más de 10 millones de usuarios de Android. Encontraron más de 130 aplicaciones armadas que distribuían un nuevo troyano Android móvil llamado GriftHorse. Las aplicaciones abarcaban numerosas categorías diferentes y estaban disponibles en Google Play, así como en tiendas de aplicaciones de terceros. El esfuerzo realizado en estas aplicaciones troyanizadas varió enormemente, y algunas poseían una funcionalidad básica, aunque no eran capaces de hacer nada.

El objetivo de los piratas informáticos y la actividad principal de GriftHorse es realizar un esquema conocido como 'fleeceware'. Implica suscribir a las víctimas desprevenidas a costosos servicios móviles premium. La táctica se revela solo cuando los usuarios reciben su próxima factura mensual de su operador de telefonía móvil. Con un precio medio de suscripción estimado en 42 dólares al mes (36 euros), los investigadores creen que los ciberdelincuentes detrás de GriftHorse han podido recaudar cientos de millones de euros de usuarios repartidos en 70 países.

Detalles del ataque

Una vez entregado al dispositivo Android del usuario, GriftHorse comienza a bombardearlos con alertas que afirman que han ganado un premio que debe reclamarse de inmediato. Estas alertas se generarían al menos cinco veces por hora. Al interactuar con la alerta, a los usuarios se les presentaría una página generada dinámicamente en función de varios factores, como la dirección IP del dispositivo, la ubicación geográfica, el idioma local y el texto apropiado para el contexto. Estas páginas piden a las víctimas que ingresen sus números de teléfono con el pretexto de usarlos como medida de "verificación". En cambio, GriftHorse suscribió a la víctima a un servicio móvil premium elegido.

Además del uso de páginas no repetibles y de evitar las URL codificadas, los piratas informáticos también utilizaron tácticas adicionales para evitar la detección y pasar desapercibidos. Por ejemplo, desarrollaron aplicaciones armadas utilizando Apache Cordova, lo que les permite enviar actualizaciones sin la necesidad de interacción del usuario. Además, la campaña involucra una infraestructura sofisticada con múltiples servidores de comando y control y un cifrado sólido que utiliza el algoritmo criptográfico AES.