Các nhà điều hành chiến dịch GriftHorse đã kiếm được hàng chục triệu đô la từ các nạn nhân của họ
Tính đến cuối năm, Apple đã dần hoàn thiện tính năng bảo mật trên hệ điều hành iOS của mình, mặc dù nhiều cuộc tranh luận lớn giữa iOS và Android với tuyên bố hệ điều hành di động thứ hai có nhiều phần mềm độc hại hơn 47 lần do mở ứng dụng tải xuống. Điều đó nói rằng, thật khó để phản bác thực tế rằng Android "hấp dẫn" đối với các nhà phát triển phần mềm độc hại.
Theo các nhà nghiên cứu tại Zimperium zLabs, một chương trình độc hại của Android mới có tên GriftHorse đã được nhúng vào không dưới 200 ứng dụng đã được phê duyệt vào Google Play Store cũng như một số cửa hàng ứng dụng của bên thứ ba. Cho đến nay, các nhà khai thác phần mềm độc hại đã quản lý để lây nhiễm hơn 10 triệu thiết bị Android từ hơn 70 quốc gia và ăn cắp hàng chục triệu USD từ nạn nhân của họ.
Các nhà nghiên cứu giải thích trong báo cáo của họ rằng chiến dịch GriftHorse đã hoạt động ít nhất từ tháng 11 năm 2020 đến hết tháng 4 năm 2021. Khi người dùng cài đặt bất kỳ ứng dụng độc hại nào, GriftHorse sẽ tạo ra một số lượng lớn các thông báo và cửa sổ bật lên thu hút mọi người với các khoản giảm giá đặc biệt hoặc các phần thưởng khác nhau. Những người nhấp vào sẽ được chuyển hướng đến một trang web nơi họ được yêu cầu xác nhận số điện thoại của mình để truy cập vào chương trình khuyến mại.
Trên thực tế, các nạn nhân của GriftHorse đang đăng ký các dịch vụ SMS cao cấp có mức phí hơn 35 USD mỗi tháng. Người ta ước tính rằng các nhà khai thác GriftHorse đã kiếm được từ 1,5 triệu USD đến 4 triệu USD mỗi tháng bằng cách sử dụng kế hoạch này và những nạn nhân đầu tiên của họ có thể đã mất hơn 230 USD nếu họ không ngăn chặn trò lừa đảo.
Các nhà nghiên cứu Zimperium Aazim Yaswant và Nipun Gupta lưu ý rằng đây là một chiến dịch phần mềm độc hại phức tạp trong đó các nhà khai thác sử dụng mã chắc chắn và nhiều trang web và ứng dụng độc hại bao gồm hầu hết mọi danh mục có thể. Zimperium đã thông báo cho Google về các ứng dụng vi phạm; trong khi công ty đã xóa chúng khỏi Play Store, những phần mềm đps vẫn có thể được tải xuống từ các cửa hàng ứng dụng của bên thứ ba.
Đây không phải là lần đầu tiên kiểu tấn công này được thực hiện ở người dùng Android. Trở lại năm 2018, công ty quản lý dữ liệu và bảo mật di động Wandera đã tìm thấy một phần mềm độc hại tương tự có thể gửi tin nhắn SMS đến các dịch vụ cao cấp, trong số những thứ khác. Và đánh giá theo sự tinh vi có trong chiến dịch GriftHorse, họ có thể đã làm điều này trong một thời gian dài.