Zimperium：GriftHorse木马感染全球1千万台Android装置，擅自帮受害者订阅高价简讯服务

资安业者Zimperium本周揭露一起涉及全球逾70个国家，且已有超过1,000万名Android用户受害的GriftHorse木马程式诈骗攻击，它会代替被感染的使用者订阅每月36欧元（1180元新台币）的高价简讯服务，相关攻击始于2020年11月，骇客每月固定进账超过数百万欧元，估计不法所得已达到数亿欧元之谱。

根据Zimperium的分析，骇客集团在此一攻击行动中设计了超过200款恶意程式，它们分散在不同的类别，最大宗的类别为工具，占了47.9%，其它还有娱乐（12.7%）、个人化（5.6%）、生活风格（5.6%）、模拟（4.2%）、约会、运动、健身、教育、解谜、金融或音乐等，它们看起来平凡无奇，却暗藏木马功能，而且从去年11月迄今，完全没有其它资安业者发现GriftHorse的存在。

骇客透过Google Play与第三方Android市集散布这些恶意程式，当使用者安装程式之后，它就会不断跳出“你中奖了！”的视窗，而且每个小时至少会跳出5次，直至使用者接受它，之后便会将使用者导至以当地语言撰写的网页，并要求使用者输入电话号码进行验证。

图片来源_Zimperium

不过，使用者所输入的电话号码却被用来订阅每月36欧元的简讯服务，且会随着电信账单向使用者收费，一直到使用者察觉并向电信业者取消为止。

Zimperium说，GriftHorse是今年以来他们所发现，覆盖范围最大的恶意程式活动，该活动采用复杂的架构及不重复使用的网域来躲避侦测及封锁，且事实上也没有其它资安业者察觉，在过去几个月就感染了超过1,000万名受害者的装置。

从Zimperium所公布的灾情分布地图来看，台湾也是重灾区，且虽然Google在收到Zimperium的报告后已移除Google Play上的相关程式，但这些恶意程式很可能还存活在第三方的Android市集或其它网站上。Zimperium已列出这200个恶意程式的名称，Android装置用户应该要检查一下自己是否安装了当中的任何一款，亦应留意自己的电信账单。

图片来源_Zimperium