I ricercatori di Zimperium hanno scoperto un’enorme truffa informatica messa in atto con oltre 200 app Android distribuite tramite Google Play Store o store di terze parti. Utilizzando il trojan GriftHorse, i cybercriminali hanno colpito oltre 10 milioni di dispositivi, riuscendo a guadagnare centinaia di milioni di euro attraverso l’attivazione di servizi SMS premium.
GriftHorse: trojan nelle app Android
In base all’analisi forense effettuata da Zimperium, la campagna di scam è iniziata nel mese di novembre 2020. Fino ad aprile 2021, GriftHorse ha infettato oltre 10 milioni di dispositivi Android in oltre 70 paesi. I cybercriminali hanno nascosto il trojan in oltre 200 app. Gli utenti sono stati ingannati dai messaggi che comunicavano la vincita di un premio. Toccando il pop-up si apriva una pagina web in cui doveva essere inserito il numero di telefono. Così facendo, l’ignara vittima effettuava l’iscrizione a servizi SMS premium con oltre 30 euro/mese di addebiti.
Gli autori hanno prestato molta attenzione allo sviluppo di GriftHorse, in modo da rendere più credibile la truffa. Ad esempio, la lingua scelta per il testo mostrato nelle pagine web era la stessa dell’utente (dedotta dall’indirizzo IP del dispositivo). I cybercriminali hanno inoltre evitato di utilizzare lo stesso URL o lo stesso dominio. Il malware è rimasto invisibile ai software di sicurezza per diversi mesi.
In seguito alla segnalazione, Google ha rimosso tutte le app dal Play Store. Alcune di esse sono ancora disponibili su store di terze parti, quindi è meglio evitare il download. L’elenco completo delle app è stato pubblicato sul sito di Zimperium.