Milioni di utenti Android presi di mira da campagna Dark Herring

Una campagna di abbonamento fraudolenta, chiamata Dark Herring, ha preso di mira oltre 100 milioni di utenti Android in tutto il mondo. La campagna è attiva da quasi due anni. La prima app dannosa contenente Dark Herring è stata inviata a marzo 2020.

La campagna Dark Herring ha causato perdite per centinaia di milioni di dollari abusando milioni di dispositivi tramite le loro 470 app del Google Play Store.

  • Le app sottoscrivono gli utenti a servizi premium che addebitano 15 dollari al mese tramite Direct Carrier Billing (DCB – pagamento su saldo a credito SIM).
  • Gli operatori della campagna Dark Herring hanno incassato gli abbonamenti mentre gli utenti sono rimasti all’oscuro dell’infezione e delle relative frodi per molto tempo, a volte anche diversi mesi.
  • I nomi di alcune app dannose sono Smashex, Upgradem, Stream HD, Vidly Vibe e Cast It. Figuravano come giochi vari, strumenti fotografici, utilità e app di produttività.

L’impatto

  • Finora, le app fraudolente sono state installate da 105 milioni di utenti in 70 paesi.
  • I paesi senza leggi sulla protezione dei consumatori DCB come India, Finlandia, Arabia Saudita, Egitto, Grecia, Svezia, Norvegia, Bulgaria, Iraq, Tunisia e Pakistan sono maggiormente a rischio.

Gli aggressori hanno utilizzato una sofisticata infrastruttura che ha riceveva comunicazioni da tutti gli utenti di 470 applicazioni. Tuttavia, sono stati gestiti separatamente in base a un identificatore univoco.

  • L’app installata non viene fornita con alcun codice dannoso. Utilizza una stringa crittografata hardcoded che conduce gli utenti a un URL di prima fase ospitato su CloudFront di Amazon.
  • La risposta dal server include collegamenti ad altri file JavaScript ospitati su istanze AWS. Questi file vengono scaricati sul dispositivo compromesso.
  • Questi script vengono utilizzati per preparare la configurazione delle app in relazione alla vittima: stampare identificatori univoci, recuperare lingue differenti, informazioni sul paese e scoprire quali piattaforme DCB applicare in ciascun caso.
  • Infine, l’app mostra una pagina WebView personalizzata per invitare la vittima a inserire il numero di telefono e presumibilmente a ricevere un codice OTP temporaneo per attivare l’account sull’applicazione.

La campagna Dark Herring è in corso da quasi due anni e ha già preso di mira milioni di utenti. Ciò indica che a volte il download di app da store ufficiali non basta a garantire la sicurezza degli utenti. Ma bisogna stare attenti alle attività che si verificano con i nostri dati, che registrazioni effettuiamo e perché.

Dario Fadda

IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.

Vuoi commentare? Accendi la discussione

Torna in alto