Μια απάτη με συνδρομές premium υπηρεσιών για Android λειτουργεί εδώ και σχεδόν δύο χρόνια. Η επιχείρηση που ονομάστηκε «Dark Herring» χρησιμοποίησε 470 εφαρμογές Google Play Store και επηρέασε περισσότερους από 100 εκατομμύρια χρήστες παγκοσμίως, προκαλώντας πιθανώς συνολικές απώλειες εκατοντάδων εκατομμυρίων USD.
Δείτε επίσης: Τα FluBot και TeaBot malware στοχεύουν ξανά χρήστες Android
Το «Dark Herring» ήταν παρόν σε 470 εφαρμογές στο Google Play Store, την επίσημη και πιο αξιόπιστη πηγή εφαρμογών του Android, με την πρώτη υποβολή να χρονολογείται τον Μάρτιο του 2020.
Συνολικά, οι δόλιες εφαρμογές εγκαταστάθηκαν από 105 εκατομμύρια χρήστες σε 70 χώρες, εγγράφοντας τους σε premium υπηρεσίες που χρεώνουν 15 $ το μήνα μέσω Direct Carrier Billing (DCB).
Το DCB είναι μια επιλογή πληρωμής μέσω κινητού τηλεφώνου που επιτρέπει στους χρήστες να αγοράζουν ψηφιακό περιεχόμενο από το Play Store, χρεώνοντάς το στο προπληρωμένο υπόλοιπό τους ή στον προπληρωμένο λογαριασμό τους.
Δείτε επίσης: BRATA Android malware: Κλέβει δεδομένα και εκτελεί επαναφορά εργοστασιακών ρυθμίσεων
Οι χειριστές της επιχείρησης «Dark Herring» εξαργύρωσαν τις συνδρομές ενώ οι χρήστες συνειδητοποίησαν τις δόλιες χρεώσεις πολύ αργότερα, μερικές φορές αρκετούς μήνες μετά τη μόλυνση.
Η ανακάλυψη του «Dark Herring» προέρχεται από το Zimperium zLabs, έναν συνεργάτη της Google.
Πώς λειτουργεί το malware
Η μακροπρόθεσμη επιτυχία του Dark Herring βασίστηκε στις δυνατότητες αντι-ανίχνευσης AV, στη διάδοση μέσω μεγάλου αριθμού εφαρμογών, στο code obfuscation και στη χρήση των proxies ως διευθύνσεων URL πρώτου σταδίου.
Αν και κανένα από τα παραπάνω δεν είναι καινούργιο ή πρωτοποριακό, το να τα βλέπεις συνδυασμένα σε ένα ενιαίο λογισμικό είναι σπάνιο για απάτη Android.
Επιπλέον, οι χάκερ χρησιμοποίησαν μια εξελιγμένη υποδομή που λάμβανε επικοινωνίες από όλους τους χρήστες των 470 εφαρμογών, αλλά χειριζόταν την καθεμία ξεχωριστά με βάση ένα μοναδικό αναγνωριστικό.
Η εγκατεστημένη εφαρμογή δεν περιέχει κακόβουλο κώδικα, αλλά διαθέτει ένα κωδικοποιημένο hard-coded string που οδηγεί σε μια διεύθυνση URL πρώτου σταδίου που φιλοξενείται στο CloudFront της Amazon.
Η απάντηση από τον server περιέχει συνδέσμους προς πρόσθετα αρχεία JavaScript που φιλοξενούνται σε instances AWS, τα οποία μεταφορτώνονται στη μολυσμένη συσκευή.
Αυτά τα scripts προετοιμάζουν την εφαρμογή για να αποκτήσει το configuration της σε σχέση με το θύμα, δημιουργούν τα μοναδικά αναγνωριστικά, ανακτούν τη γλώσσα και τις λεπτομέρειες της χώρας και καθορίζουν ποια πλατφόρμα DCB είναι εφαρμόσιμη σε κάθε περίπτωση.
Τέλος, η εφαρμογή εξυπηρετεί μια προσαρμοσμένη σελίδα WebView που προτρέπει το θύμα να εισάγει τον αριθμό τηλεφώνου του με στόχο να λάβει έναν προσωρινό κωδικό OTP για να ενεργοποιήσει τον λογαριασμό στην εφαρμογή.
Εφαρμογές και στόχοι
Με 470 εφαρμογές για τη διανομή του malware, τα στοχευμένα δημογραφικά στοιχεία ήταν αρκετά διαφορετικά. Οι περισσότερες από αυτές τις εφαρμογές εμπίπτουν στην ευρύτερη και πιο δημοφιλή κατηγορία «Ψυχαγωγία».
Άλλες εφαρμογές ήταν εργαλεία φωτογραφίας, παιχνίδια, βοηθητικά προγράμματα και εφαρμογές παραγωγικότητας.
Ένας βασικός παράγοντας των συνεπειών της επιχείρησης Dark Herring είναι η απουσία νόμων για την προστασία των καταναλωτών της DCB, επομένως ορισμένες χώρες στοχοποιήθηκαν πιο ένθερμα από άλλες.
Οι χώρες που διατρέχουν μεγαλύτερο μεγαλύτερο κίνδυνο είναι η Ινδία, το Πακιστάν, η Σαουδική Αραβία, η Αίγυπτος, η Ελλάδα, η Φινλανδία, η Σουηδία, η Νορβηγία, η Βουλγαρία, το Ιράκ και η Τυνησία.
Δείτε επίσης: Πώς να κλείσετε εφαρμογές σε μια συσκευή Android
Ακόμη και σε χώρες όπου ισχύουν αυστηροί κανόνες προστασίας DCB, εάν τα θύματα καθυστερήσουν να συνειδητοποιήσουν την απάτη, η επαναφορά των συναλλαγών μπορεί να είναι αδύνατη.
Οι πιο δημοφιλείς εφαρμογές Dark Herring που η καθεμία μετράει πολλά εκατομμύρια λήψεις είναι:
- Smashex
- Upgradem
- Stream HD
- Vidly Vibe
- Cast It
- My Translator Pro
- New Mobile Games
- StreamCast Pro
- Ultra Stream
- Photograph Labs Pro
- VideoProj Lab
- Drive Simulator
- Speedy Cars – Final Lap
- Football Legends
- Football HERO 2021
- Grand Mafia Auto
- Offroad Jeep Simulator
- Smashex Pro
- Racing City
- Connectool
- City Bus Simulator 2
Για πρόσβαση σε ολόκληρη τη λίστα και των 470 κακόβουλων εφαρμογών Android, ρίξτε μια ματιά σε αυτήν τη σελίδα GitHub.
Πηγή πληροφοριών: bleepingcomputer.com
