De zogenaamde GriftHorse-campagne maakte gebruik van slimme technieken om bijna een jaar lang niet ontdekt te worden in Google Play.

Google heeft steeds geavanceerdere stappen ondernomen om schadelijke apps uit Google Play te weren. Maar een nieuwe ronde van verwijderingen, waarbij ongeveer 200 apps en meer dan 10 miljoen potentiële slachtoffers betrokken waren, laat zien dat dit oude probleem nog lang niet is opgelost. In dit geval heeft het gebruikers mogelijk honderden miljoenen dollars gekost. 

Onderzoekers van het mobiele beveiligingsbedrijf Zimperium zeggen dat de massale oplichtingscampagnes Android al sinds november 2020 teisteren. Zoals vaak het geval is, waren de aanvallers in staat om goedaardig ogende apps zoals “Handy Translator Pro”, “Heart Rate and Pulse Tracker” en “Bus – Metro 2021” in Google Play te sluipen als dekmantel voor iets meer sinister. 

Na het downloaden van een van de schadelijke apps ontving een slachtoffer een stortvloed aan meldingen, vijf per uur. Daarin werd gevraagd om hun telefoonnummer te “bevestigen” om aanspraak te maken op een prijs. Zodra een gebruiker zijn cijfers had ingevoerd, schreven de aanvallers hem in voor een maandelijks terugkerend bedrag van ongeveer 42 dollar via de sms-dienstenfunctie van draadloze rekeningen. Dit is een systeem waarmee je normaal gesproken voor digitale diensten kunt betalen of bijvoorbeeld geld via sms naar een goed doel kunt sturen. In dit geval ging het rechtstreeks naar oplichters.

Oude technieken blijken nog steeds effectief

Deze technieken komen vaak voor in kwaadaardige Play Store-apps, en vooral de sms-fraude is een gekend probleem. Experts zeggen dat het veelzeggend is dat aanvallers in staat waren om deze bekende benaderingen aan elkaar te rijgen op een manier die nog steeds uiterst effectief was – en in duizelingwekkende aantallen.

“Dit is een indrukwekkende prestatie in termen van schaal”, zegt Richard Melick, Zimperium’s directeur productstrategie voor end-point beveiliging. “Ze hebben de volledige handschoen van technieken over alle categorieën naar buiten geduwd; deze methoden zijn verfijnd en praktisch. En het is echt een tapijtbombardement effect als het gaat om de hoeveelheid apps. De ene kan succesvol zijn, de andere misschien niet, en dat is prima.”

De operatie richtte zich op Android-gebruikers in meer dan 70 landen en controleerde specifiek hun IP-adressen om een idee te krijgen van hun geografische regio’s. De app toonde webpagina’s in de primaire taal van die locatie om de ervaring aantrekkelijker te maken. De malware-exploitanten zorgden ervoor dat URL’s niet opnieuw werden gebruikt, wat het voor beveiligingsonderzoekers makkelijker kan maken om ze op te sporen. En de inhoud die de aanvallers genereerden was van hoge kwaliteit, zonder de type- en grammaticafouten die vaak met oplichting gepaard gaan.

De GriftHorse-campagne

Zimperium is lid van Google’s App Defense Alliance. Dat is een coalitie van externe bedrijven die helpen om Play Store-malware in de gaten te houden. Zimperium maakte de zogenaamde GriftHorse-campagne bekend als onderdeel van die samenwerking. Google zegt dat alle apps die Zimperium heeft geïdentificeerd uit de Play Store zijn verwijderd en dat de bijbehorende app-ontwikkelaars zijn verbannen.

De onderzoekers wijzen er echter op dat de apps – waarvan er vele honderdduizenden werden gedownload – nog steeds beschikbaar zijn via app stores van derden. Ze merken ook op dat, hoewel premium sms-fraude een oude bekende is, het nog steeds een effectieve is. Dat komt omdat de kwaadaardige kosten meestal pas zichtbaar worden op de volgende draadloze factuur van het slachtoffer. 

Hoewel het neerhalen van zoveel apps de GriftHorse-campagne vooralsnog zal vertragen, benadrukken de onderzoekers dat er altijd nieuwe varianten opduiken.

“Deze aanvallers zijn georganiseerd en professioneel. Ze hebben dit opgezet als een bedrijf, en ze gaan niet zomaar weer verder,” zegt Shridhar Mittal, CEO van Zimperium. “Ik ben er zeker van dat dit geen eenmalig iets was.”

(jvdh)