Clicky

¡Cuidado! Este troyano de Android robó millones de dólares a más de 10 millones de usuarios

Troyano de Android GriftHorse

Denominado GriftHorse, suscribe sin su conocimiento a las personas a servicios premium de pago

Una "agresiva" campaña móvil recientemente descubierta ha infectado al más de 10 millones de usuarios de más de 70 países a través de aplicaciones de Android aparentemente inocuas que suscriben sin su conocimiento a las personas a servicios premium que cuestan € 36 (~ $ 42) por mes.

Zimperium zLabs apodó al troyano malicioso "GriftHorse". Se cree que el plan de generación de dinero ha estado en desarrollo activo a partir de noviembre de 2020, con víctimas reportadas en Australia, Brasil, Canadá, China, Francia, Alemania, India, Rusia, Arabia Saudita, España, Reino Unido y Estados Unidos.

En la campaña se utilizaron no menos de 200 aplicaciones de troyanos, lo que la convierte en una de las estafas más extendidas que se han descubierto en 2021. Además, las aplicaciones maliciosas atendían a un conjunto variado de categorías que iban desde herramientas y entretenimiento hasta personalización, estilo de vida y citas, ampliando efectivamente la escala de los ataques. Una de las aplicaciones, Handy Translator Pro, acumuló hasta 500.000 descargas.

"Si bien las típicas estafas de servicios premium se aprovechan de las técnicas de phishing, esta estafa global específica se ha escondido detrás de aplicaciones maliciosas de Android que actúan como troyanos, lo que les permite aprovechar las interacciones del usuario para aumentar la propagación y la infección", dijeron en un informe los investigadores de Zimperium, Aazim Yaswant y Nipun Gupta.

"Estas aplicaciones maliciosas de Android parecen inofensivas al mirar la descripción de la tienda y los permisos solicitados, pero esta falsa sensación de confianza cambia cuando a los usuarios se les cobra mes tras mes por el servicio premium al que se suscriben sin su conocimiento y consentimiento".

países afectados por GriftHorse

Al igual que otros troyanos bancarios, GriftHorse no aprovecha las fallas del sistema operativo Android, sino que diseña socialmente a los usuarios para que suscriban sus números de teléfono a servicios de SMS premium al descargar las aplicaciones.

Después de una infección exitosa, las víctimas son bombardeadas con alertas engañosas que prometen un "REGALO" gratuito que, cuando se hace clic, las redirige a una página web geoespecífica para enviar sus números de teléfono para su verificación. "Pero en realidad, están enviando su número de teléfono a un servicio de SMS premium que comenzaría a cobrar su factura telefónica a más de 30 euros al mes", dijeron los investigadores.

Al construir un flujo de caja estable de fondos ilícitos, la campaña GriftHorse no solo logró pasar desapercibida y evitar la detección de antivirus, sino que también ha generado millones en ingresos recurrentes cada mes, superando potencialmente cientos de millones en la cantidad total saqueada de estas víctimas, anotaron los investigadores.

Tras la divulgación responsable a Google, las aplicaciones se han eliminado de Play Store. Pero continúan estando disponibles en repositorios de aplicaciones de terceros que no son de confianza, lo que una vez más subraya los riesgos asociados con la descarga de aplicaciones arbitrarias y cómo pueden surgir como una ruta de intrusión para el malware.

"En general, el troyano de Android GriftHorse aprovecha las pequeñas pantallas, la confianza local y la información errónea para engañar a los usuarios para que descarguen e instalen estos troyanos de Android, así como la frustración o la curiosidad al aceptar el falso premio gratuito enviado como spam a sus pantallas de notificación", concluyeron Yaswant y Gupta.

Jesus_Caceres