GriftHorse Android Trojan

Une campagne d'attaque massive qui a touché plus de 10 millions d'utilisateurs d'Android a été découverte par des chercheurs en sécurité. Ils ont trouvé plus de 130 applications militarisées qui distribuaient un nouveau cheval de Troie mobile Android nommé GriftHorse. Les applications couvraient de nombreuses catégories différentes et étaient disponibles sur Google Play, ainsi que dans des magasins d'applications tiers. L'effort mis dans ces applications trojanisées variait considérablement, certaines possédant des fonctionnalités de base, sans être capables de faire quoi que ce soit.

L'objectif des pirates et l'activité principale de GriftHorse est d'exécuter un stratagème connu sous le nom de « fleeceware ». Il s'agit de souscrire les victimes sans méfiance à des services mobiles premium coûteux. La tactique n'est révélée que lorsque les utilisateurs reçoivent leur prochaine facture mensuelle de leur opérateur mobile. Le prix moyen de l'abonnement étant estimé à 42 $ par mois (36 €), les chercheurs pensent que les cybercriminels derrière GriftHorse ont pu collecter des centaines de millions d'euros auprès d'utilisateurs répartis dans 70 pays.

Détails de l'attaque

Une fois livré à l'appareil Android de l'utilisateur, GriftHorse commence à le bombarder d'alertes affirmant qu'il a gagné un prix qui doit être réclamé immédiatement. Ces alertes seraient générées au moins cinq fois par heure. Lors de l'interaction avec l'alerte, les utilisateurs se verraient présenter une page générée dynamiquement en fonction de plusieurs facteurs tels que l'adresse IP de l'appareil, la géolocalisation, la langue locale et le texte approprié au contexte. Ces pages demandent aux victimes de saisir leurs numéros de téléphone sous prétexte de les utiliser comme mesure de « vérification ». Au lieu de cela, le GriftHorse a abonné la victime à un service mobile premium choisi.

Outre l'utilisation de pages non répétables et l'évitement des URL codées en dur, les pirates ont également utilisé des tactiques supplémentaires pour éviter d'être détectés et rester inaperçus. Par exemple, ils ont développé des applications militarisées à l'aide d'Apache Cordova, ce qui leur permet de pousser les mises à jour sans avoir besoin d'aucune interaction avec l'utilisateur. De plus, la campagne implique une infrastructure sophistiquée avec plusieurs serveurs de commande et de contrôle et un cryptage fort utilisant l'algorithme cryptographique AES.