بدافزار GriftHorse بیش از ۱۰ میلیون دستگاه اندرویدی را آلوده کرده است
یک بدافزار تروجان اندروید به نام گریفتهورس (GriftHorse)، از طریق اپلیکیشنهای پلی استور میلیونها دلار از قربانیان خود به سرقت برده است.
گوگل همیشه سعی کرده است پلی استور را از اپلیکیشنهای آلوده پاکسازی کند؛ اما در این زمینه موفقیت چندانی به دست نیاورده است. این شرکت بهطور مداوم در حال حذف اپلیکیشنهای آلوده است و در تلاش اخیر خود حدود ۲۰۰ اپلیکیشن را در دستهبندیهای مختلف از پلی استور حذف کرده که همهی این اپها به بدافزار گریفتهورس آلوده بودهاند. تروجان مورد اشاره تاکنون بیش از ۱۰ میلیون دستگاه اندرویدی را آلوده کرده است.
بر طبق آمار، اندروید به دلیل ماهیت متن باز بودنش، نسبت به iOS تا ۴۷ درصد بیشتر در معرض بدافزارها قرار میگیرد؛ اما اپل هم اخیرا در بخش امنیت سیستم عامل موبایل خود عملکرد ضعیفی داشته است. البته نمیتوان این موضوع را انکار کرد که پلتفرم اندروید گزینهی جذابتری برای توسعهدهندگان بدافزار محسوب میشود و این افراد از هر فرصتی برای انتشار اپلیکیشن آلوده در اکوسیستم موبایل گوگل بهره میبرند.
به گزارش تکاسپات و بر اساس تحقیقات زیمپریوم زیلبز، یک تروجان جدید اندرویدی به نام گریفتهورس در بیش از ۲۰۰ اپلیکیشن در دستهبندیهای مختلف گنجانده شده است که همهی این اپلیکیشنها در پلی استور و همچنین فروشگاههای شخص ثالث تأیید و منتشر شدهاند. این بدافزار بیش از ۱۰ میلیون دستگاه اندرویدی را در ۷۰ کشور آلوده کرده و دهها میلیون دلار از قربانیان خود به سرقت برده است.
محققان در گزارش خود توضیح دادهاند که کمپین گریفتهورس از نوامبر ۲۰۲۰ تا آوریل ۲۰۲۱ فعال بوده است. هنگامی که افراد یکی از این اپلیکیشنهای آلوده به گریفتهورس را نصب کنند، این بدافزار تعداد زیادی اعلان و پنجرهی پاپآپ به کاربر نمایش خواهد داد که محتوای این پیامها شامل تخفیفهای ویژه و جوایز مختلف میشود. افرادی که روی این اعلانها و پیامها تپ کنند، وارد یک صفحهی اینترنتی خواهند شد و باید شمارهی موبایل خود را برای دسترسی به جوایز و تخفیفها ثبت و سپس تأیید کنند.
قربانیان گریفتهورس با این اقدام در حقیقت مشترک یک سرویس پولی اساماس خواهند شد که برای این اشتراک باید ماهانه ۳۵ دلار پرداخت کنند. سازندگان بدافزار یادشده، با این روش ماهانه مبلغی بین ۱٫۵ تا ۴ میلیون دلار به دست آوردهاند. بدین ترتیب اولین قربانیان این تروجان در صورتی که استفاده از آن را متوقف نکرده باشند، احتمالا بیش از ۲۳۰ دلار از دست دادهاند.
دو محقق زیمپوریوم به نامهای عظیم یاسوانت و نیپون گوپتا به این موضوع اشاره کردهاند که گریفتهورس یک کمپین بدافزاری پیچیده است و توسعهدهندگان آن از کدهای باکیفیت و وبسایتها و اپلیکیشنهای آلودهی مختلفی استفاده کردهاند تا اپلیکیشنهای خود را در اکثر دستهبندیهای پلی استور منتشر کنند. زیمپریوم گوگل را از وجود این بدافزار مطلع کرده و این شرکت اپلیکیشنهای آلوده را از فروشگاه نرمافزار خود حذف کرده است. البته امکان دانلود اپهای آلوده در فروشگاههای شخص ثالث همچنان وجود دارد.
این اولین باری نیست که چنین حملهای در اندروید رخ داده است. شرکت امنیتی واندرا در سال ۲۰۱۸ بدافزار مشابهی کشف کرد که به سرویسهای پولی، پیام کوتاه ارسال میکرد. با توجه به پیچیدگی کمپین گریفتهوس، به نظر میرسد توسعهدهندگان این بدافزار از مدتها قبل در حال پخش کردن آن بودهاند.