O nome é “Grifthorse”, o malware foi incorporado em pelo menos 200 apps, entre eles alguns que contornaram a proteção oferecida pela Google Play Store. ‘É uma nova infecção do tipo trojan, que depende de o usuário cair numa armadilha, e ataca celulares com o sistema operacional Android. Já causou problemas a mais de 10 milhões de pessoas em 70 países, entre eles o Brasil.

De acordo com o Zimperium zLabs, responsável pela identificação do Grifthorse, o Google já removeu da sua loja oficial os aplicativos Android tidos como afetados pelo trojan. No entanto, esses softwares ainda estão disponíveis em plataformas de terceiros, o que requer atenção dos usuários.

publicidade

Na ativa desde novembro de 2020, a campanha “GriftHorse” consiste em enganar as vítimas para obter seus números de telefone. Os números roubados, então, são usados para serem inscritos em serviços premium de mensagens SMS.

Segundo os pesquisadores, os operadores do novo trojan para Android infectaram dispositivos suficientes para estabelecer um fluxo de caixa estável, “gerando milhões em receitas recorrentes a cada mês”.

Gráfico de apps atingidos pelo Grifthorse
Tipos de apps atingidos pelo Grifthorse (Imagem: ZLabs)

Como funciona o Grifthorse?

Primeiramente, as vítimas baixam apps Android que parecem legítimos. De acordo com a Zimperium zLabs, os aplicativos variam de jogos de quebra-cabeça e utilitários a serviços de namoro e entrega de alimentos e bebidas. O app mais malicioso é um tradutor chamado Handy Translator Pro, que contabiliza pelo menos 500 mil downloads.

Após a instalação, o novo trojan bombardeia o usuário do Android com mensagens, alertando-o sobre um prêmio falso. Ele redireciona, então, a uma página de site com base em sua geolocalização e seu idioma.

Leia mais:

Nisso, os usuários são solicitados a enviar seus números de telefones para fins de verificação. Quando os dados são mandados, eles se tornam assinantes de serviço premium. Algumas das cobranças, de acordo com a Zimperium zLabs, são superiores a 30 euros por mês (cerca de R$ 190 mensais).

Para não deixar indícios, os operadores do malware usam URLs efêmeras em vez de endereços codificados. “Esse método permitiu que os atacantes visassem diferentes países de formas diferentes”, afirma a zLabs. “Esta verificação no lado do servidor evita a verificação de análise dinâmica para comunicação e comportamentos de rede.”

Entre os países afetados pelo Grifthorse, estão Brasil, Estados Unidos, Canadá, Rússia, Austrália e Índia. Apps afetados pelo trojan para Android incluem Geospot: GPS Location Tracker, iCare, My Chat Translator, Free Translator Pro, Bus Driving Simulator, Instant Speech Translation, Locker Tool, entre outros.

Mapa dos países afetados pelo Grifthorse
Países afetados pelo Grifthorse (Imagem: Zimperium Z Labs)

Via ZDNet

Imagem: gestoeber/Shutterstock

Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!