Специалисты из Zimperium zLabs обнаружили новую вредоносную кампанию, в ходе которой более 10 млн Android-устройств были заражены трояном GriftHorse. Злоумышленники распространяют троян под видом безобидных Android-приложений, на самом деле подписывающих ничего не подозревающих жертв на премиум-сервисы стоимостью €36 евро в месяц. Вредоносная кампания началась в ноябре 2020 года и в настоящее время все еще активна. Ее жертвами стали пользователи по всему миру, включая Австралию, Бразилию, Великобританию, Германию, Индию, Испанию, Канаду, Китай, Россию, Саудовскую Аравию и США. В ходе кампании используется не менее 200 троянизированных мобильных приложений, что делает ее одной из самых масштабных мошеннических операций, раскрытых в нынешнем году. Вредоносные приложения относятся к различным категориям, начиная от категорий «Инструменты» и «Развлечения» и заканчивая категориями «Персонализация», «Образ жизни» и «Знакомства», что позволяет злоумышленникам расширить масштабы своих атак. К примеру, одно из таких приложений, Handy Translator Pro, насчитывает порядка 500 тыс. загрузок. Как сообщается в отчете специалистов Zimperium, обычно мошенничество с подпиской пользователей на премиум-сервисы без их ведома осуществляется с помощью фишинга, однако в данном случае используются Android-приложения, играющие роль троянов. Подобно банковским троянам, GriftHorse не эксплуатирует какие-либо уязвимости в ОС, а с помощью приемов социальной инженерии заставляет пользователей подписаться на премиум-сервис. После установки вредоносного мобильного приложения пользователя начинают атаковать уведомления с обещанием подарка. Когда пользователь нажимает на это уведомление, он переадресовывается на определенную web-страницу (в зависимости от его места проживания), где нужно ввести номер телефона для подтверждения. Однако на самом деле, вводя свой номер, жертва, сама того не ведая, подписывается на премиум-сервис. Исследователи сообщили о своем открытии компании Google, и мошеннические приложения были удалены из Play Store. Тем не менее, они по-прежнему доступны в недоверенных сторонних репозиториях.