Das Sicherheitsunternehmen Zimperium warnt in einem Blogbeitrag vor dem Trojaner GriftHorse, der Android-Smartphones angreift. Die Schadsoftware soll demnach weltweit bisher über zehn Millionen Opfer aus über 70 Staaten gefunden haben und von diesen möglicherweise Hunderte Millionen Euro erbeutet haben.
Foto: wk1003mike - shutterstock.com
Der Trojaner GriftHorse verbirgt sich in Apps, die auf Google Play und Drittanbieter-App-Stores zum Download bereitstehen beziehungsweise bereitstanden. Aus der Beschreibung der Apps auf Google Play geht natürlich nicht hervor, dass sie versuchen die Benutzer zum Abschluss teurer Premium-Dienste-Abonnements zu verführen. Denn das ist die Masche: Die Smartphone-Besitzer schließen unwissentlich teuere Abos ab, die dann über die Mobilfunkrechnung abgerechnet werden. Die Betroffenen würden erst nach Wochen oder Monaten bemerken, dass sie Opfer dieser unwissentlich abgeschlossenen „Premium Dienste“ geworden. Nämlich dann, wenn sie ihre Mobilfunkrechnung lesen. Demnach werden für die unbeabsichtigt abgeschlossenen Premiumdienste rund 36 Euro pro Monat berechnet.
Die forensische Untersuchung von GriftHorse habe ergeben, dass die Verbreitung dieser Malware im November 2020 begonnen habe. Die Schadsoftware wertet die IP-Adressen der Opfer aus und präsentierte diesen dann die verfänglichen Hinweise, die zum Abschluss der Abonnements führen sollen, in deren Muttersprache. Der Trick besteht darin, dass die Opfer auf dem Bildschirm ihres Smartphones mit Gewinnhinweisen bombardiert werden. Den Gewinn müssten die Empfänger aber umgehend bestätigen, indem sie auf einem angezeigten Link tippen. Tippt das Opfer tatsächlich auf den Link in dem Popup-Fenster, dann wird es auf eine Webseite weitergeleitet, wo es zur Verifizierung seine Handynummer eingeben soll. Tatsächlich wird damit aber das Abo für den kostenpflichtigen Premium-SMS-Dienst abgeschlossen. Für die bereits erwähnten über 30 Euro pro Monat.
Zimperium habe Google informiert. Google habe den Sachverhalt überprüft und die betroffenen Apps von Google Play entfernt. Allerdings sollen die verseuchten Apps immer noch in den Drittanbieter-App-Stores verfügbar sein.
ZImperium hat hier nicht nur eine ausführliche Beschreibung dieser Attacke veröffentlicht, sondern auch eine Liste der Android-Apps,über die der Trojaner verbreitet wird. (PC-Welt)