Una campagna di abbonamento fraudolenta, chiamata Dark Herring, ha preso di mira oltre 100 milioni di utenti Android in tutto il mondo. La campagna è attiva da quasi due anni. La prima app dannosa contenente Dark Herring è stata inviata a marzo 2020.
La campagna Dark Herring ha causato perdite per centinaia di milioni di dollari abusando milioni di dispositivi tramite le loro 470 app del Google Play Store.
- Le app sottoscrivono gli utenti a servizi premium che addebitano 15 dollari al mese tramite Direct Carrier Billing (DCB – pagamento su saldo a credito SIM).
- Gli operatori della campagna Dark Herring hanno incassato gli abbonamenti mentre gli utenti sono rimasti all’oscuro dell’infezione e delle relative frodi per molto tempo, a volte anche diversi mesi.
- I nomi di alcune app dannose sono Smashex, Upgradem, Stream HD, Vidly Vibe e Cast It. Figuravano come giochi vari, strumenti fotografici, utilità e app di produttività.
L’impatto
- Finora, le app fraudolente sono state installate da 105 milioni di utenti in 70 paesi.
- I paesi senza leggi sulla protezione dei consumatori DCB come India, Finlandia, Arabia Saudita, Egitto, Grecia, Svezia, Norvegia, Bulgaria, Iraq, Tunisia e Pakistan sono maggiormente a rischio.
Gli aggressori hanno utilizzato una sofisticata infrastruttura che ha riceveva comunicazioni da tutti gli utenti di 470 applicazioni. Tuttavia, sono stati gestiti separatamente in base a un identificatore univoco.
- L’app installata non viene fornita con alcun codice dannoso. Utilizza una stringa crittografata hardcoded che conduce gli utenti a un URL di prima fase ospitato su CloudFront di Amazon.
- La risposta dal server include collegamenti ad altri file JavaScript ospitati su istanze AWS. Questi file vengono scaricati sul dispositivo compromesso.
- Questi script vengono utilizzati per preparare la configurazione delle app in relazione alla vittima: stampare identificatori univoci, recuperare lingue differenti, informazioni sul paese e scoprire quali piattaforme DCB applicare in ciascun caso.
- Infine, l’app mostra una pagina WebView personalizzata per invitare la vittima a inserire il numero di telefono e presumibilmente a ricevere un codice OTP temporaneo per attivare l’account sull’applicazione.
La campagna Dark Herring è in corso da quasi due anni e ha già preso di mira milioni di utenti. Ciò indica che a volte il download di app da store ufficiali non basta a garantire la sicurezza degli utenti. Ma bisogna stare attenti alle attività che si verificano con i nostri dati, che registrazioni effettuiamo e perché.
