بدافزار GriftHorse بیش از ۱۰ میلیون دستگاه اندرویدی را آلوده کرده است

بدافزار GriftHorse بیش از ۱۰ میلیون دستگاه اندرویدی را آلوده کرده است

بدافزار اندرویدی به نام GriftHorse میلیون ها دلار از قربانیان خود از طریق اپلیکیشن های پلی استور به سرقت برده است.

گوگل همیشه سعی کرده است پلی استور را از برنامه های آلوده پاک کند، اما در این زمینه موفقیت چندانی نداشته است. این شرکت به طور مداوم برنامه های آلوده را حذف می کند و در تلاش اخیر حدود ۲۰۰ برنامه در دسته بندی های مختلف را از پلی استور حذف کرد که همه آنها به بدافزار HorseReader آلوده شده بودند. این تروجان تاکنون بیش از ۱۰ میلیون دستگاه اندرویدی را آلوده کرده است.

طبق آمار، اندروید به دلیل منبع باز بودن تا ۴۷ درصد بیشتر از iOS در برابر بدافزار آسیب پذیر است. اما اپل اخیرا در زمینه امنیت سیستم عامل موبایل خود نیز عملکرد ضعیفی داشته است. البته نمی توان انکار کرد که پلتفرم اندروید گزینه جذاب تری برای توسعه دهندگان بدافزار است و این افراد از هر فرصتی برای انتشار اپلیکیشن آلوده در اکوسیستم موبایل گوگل استفاده می کنند.

طبق تحقیقات Zimperium Zilebes، یک تروجان اندروید جدید به نام Grifthorse در بیش از ۲۰۰ اپلیکیشن در دسته بندی های مختلف گنجانده شده است که همگی در پلی استور و همچنین فروشگاه های شخص ثالث تایید و منتشر شده اند. این بدافزار بیش از ۱۰ میلیون دستگاه اندرویدی را در ۷۰ کشور جهان آلوده کرده و ده ها میلیون دلار از قربانیان خود به سرقت برده است.

اجرا کننده های The GriftHorse Threat

کمپین GriftHorse یکی از گسترده‌ترین کمپین‌هایی است که تیم تحقیقاتی تهدید zLabs در سال ۲۰۲۱ شاهد بوده است و موفقیت خود را به ترکیبی از ویژگی‌ها نسبت می‌دهد که کمتر دیده می‌شود:

• کاملاً شناسایی نشده و توسط سایر فروشندگان AV گزارش شده است.
• بیش از ۲۰۰ برنامه تروجان در این کمپین استفاده شد.
• معماری پیشرفته مانع از بررسی وسعت این کمپین می شود. و
• خط مشی عدم استفاده مجدد برای جلوگیری از بلاک کردن رشته ها.

سطح پیچیدگی، استفاده از تکنیک‌های بدیع و همچنین عزم و اراده نشان‌داده‌شده توسط عوامل تهدید به آنها اجازه می‌دهد تا چندین ماه ناشناس بمانند.

علاوه بر تعداد زیادی برنامه، توزیع برنامه‌ها بسیار خوب برنامه‌ریزی شده بود و برنامه‌هایشان را در دسته‌های مختلف و متنوع پخش می‌کرد و دامنه قربانیان احتمالی را افزایش می‌داد.

محققان در گزارش خود توضیح دادند که کمپین گریفیث از نوامبر ۲۰۲۰ تا آوریل ۲۰۲۱ فعال بوده است.

هنگامی که افراد یکی از این برنامه‌های آلوده را روی GridHorse نصب می‌کنند، بدافزار تعداد زیادی اعلان‌ها و پاپ‌آپ‌ها را نمایش می‌دهد که شامل تخفیف‌های ویژه و جوایز مختلف می‌شود. افرادی که روی این اطلاعیه ها و پیام ها ضربه می زنند به یک صفحه وب منتقل می شوند. و برای دسترسی به جوایز و تخفیف ها باید ثبت نام کرده و سپس شماره موبایل خود را تایید کنند.

قربانیان گریفیث، در واقع، مشترک یک سرویس اشتراک پولی می شوند که برای آن باید ۳۵ دلار در ماه بپردازند. سازندگان بدافزار با استفاده از این روش ماهیانه بین ۱٫۵ تا ۴ میلیون دلار درآمد کسب کرده اند. بنابراین، اولین قربانیان این تروجان، اگر استفاده از آن را متوقف نمی کردند، احتمالاً بیش از ۲۳۰ دلار ضرر می کردند.

دو محقق بزرگ Zimpurium، Yashwant و Nippon Gupta اشاره می کنند که GridHorse یک کمپین بدافزار پیچیده است.

و توسعه دهندگان آن از کدهای با کیفیت بالا و وب سایت ها و برنامه های مختلف آلوده برای انتشار برنامه های خود در اکثر دسته ها استفاده کرده اند. همچنین، Zimperium گوگل را از این بدافزار مطلع کرده و این شرکت اپلیکیشن های آلوده را از فروشگاه نرم افزار خود حذف کرده است. البته هنوز امکان دانلود اپلیکیشن های آلوده در فروشگاه های شخص ثالث وجود دارد.

جمع بندی

آمارهای عددی نشان می دهد که بیش از ۱۰ میلیون کاربر اندروید در سراسر جهان قربانی این برنامه شدند. و متحمل خسارات مالی شدند در حالی که گروه تهدید با گذشت زمان ثروتمندتر و با انگیزه تر شد. و در حالی که قربانیان تلاش می کنند تا پول خود را پس بگیرند، مجرمان سایبری میلیون ها یورو را از طریق این کمپین تروجان جدید و موثر به دست آوردند. همچنین، این اولین بار نیست که چنین حمله ای در اندروید رخ می دهد. در سال ۲۰۱۸، شرکت امنیتی Vandra بدافزار مشابهی را کشف کرد که پیام های متنی را به سرویس های پولی ارسال می کرد. با توجه به پیچیدگی کمپین گریفیث، به نظر می رسد که توسعه دهندگان این بدافزار مدت زیادی است که در حال انتشار آن بوده اند.