Google, yıllardır kötü amaçlı uygulamaları Play Store’dan uzak tutmaya çalışıyor. Şirket sürekli olarak bu uygulamaları kaldırmak için çalışıyor ve en son yayından kaldırma işlemi, GriftHorse kötü amaçlı yazılımını 10 milyondan fazla kurbana yaymak için kullanılan birden fazla kategoride 200 uygulamayı içeriyor.
Araştırmacılara göre Zimperium zLabs’in GriftHorse adlı yeni Google Play Store’u uygulaması bazı üçüncü taraf uygulama yöneticiler tarafından onaylanmış ve içerisinde 200 adet kötü amaçlı kullanılan yazılım gömülü çıkmıştır. Kötü amaçlı yazılım operatörleri bugüne kadar 70’ten fazla ülkeden 10 milyondan fazla Android cihazına bulaşmayı başardı ve kurbanlarından on milyonlarca dolar çaldı.
Araştırmacılar raporlarında GriftHorse kampanyasının en az Kasım 2020’den ve Nisan 2021’e kadar aktif olduğunu açıkladılar. Bir kullanıcı kötü amaçlı uygulamalardan herhangi birini yüklediğinde, GriftHorse insanları özel indirimlerle cezbeden çok sayıda bildirim ve açılır pencere oluşturur. Bunlara dokunan kişiler, promosyona erişmek için telefon numaralarını onaylamalarının istendiği bir web sayfasına yönlendirilir.
Kötü amaçlı yazılım ve bilanço
Gerçekte, GriftHorse kurbanları ayda 35 doların üzerinde ücret alan premium SMS hizmetlerine abone olurlar. GriftHorse operatörlerinin bu planı kullanarak ayda 1,5 milyon dolardan 4 milyon dolara kadar herhangi bir yerde kazandıkları ve ilk kurbanlarının dolandırıcılığı durdurmadıkları takdirde büyük olasılıkla 230 dolardan fazla kaybettiği tahmin ediliyor.
Zimperium araştırmacıları Aazim Yaswant ve Nipun Gupta, bunun operatörlerin kalite kodu ve neredeyse tüm olası kategorileri kapsayan geniş bir web sitesi ve kötü amaçlı uygulama yelpazesi kullandığı gelişmiş bir kötü amaçlı yazılım kampanyası olduğunu belirtiyor.
Bu tür bir saldırının Android kullanıcılarına yönelik ilk kez gerçekleştirilişi değil. 2018 yılında, mobil güvenlik ve veri yönetimi şirketi Wandera, uygulama içerisinde premium hizmetlere SMS mesajları gönderebilecek benzer bir kötü amaçlı yazılım parçası daha buldu ve GriftHorse kampanyasında mevcut olan karmaşıklığa bakılırsa, muhtemelen bunu uzun süredir yaptıkları biliniyor.
