Компания Group-IB, специализирующаяся на предотвращении киберугроз, зафиксировала активность мобильного Android-трояна Gustuff, жертвами которого могут стать клиенты международных банков, а также пользователи мобильных криптокошельков и ресурсов электронной коммерции.
Как сообщает ONA со ссылкой на «РИА Новости», задача трояна - вывод со счетов пользователей, как обычных денег, так и криптовалюты. Он потенциально нацелен на пользователей мобильных приложений крупнейших банков, таких как Bank of America, Bank of Scotland или J.P. Morgan, маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров (PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett, Revolut), а также криптокошельков (Bitcoin Wallet, BitPay, Cryptopay, Coinbase).
Пока, по данным Group-IB, речь идет о 32 приложениях для хранения криптовалют и клиентах более 100 банков в США, Польше, Австралии, Германии и Индии. Троян проникает на Android-смартфоны через SMS со ссылками на архивы с расширением APK (формат исполняемых файлов-приложений для Android), а затем распространяется по базе контактов телефона или базе данных сервера. Причем у Gustuff есть функция автозалива в мобильные банковские приложения и криптокошельки, что позволяет ускорить и увеличить кражу денег.
После загрузки на телефон троян получает возможность выполнять необходимые для злоумышленников действия - например, нажимать на кнопки и изменять значения текстовых полей в банковских приложениях. Кроме того, он может показывать фейковые push-уведомления. В таких случаях пользователь кликает на иконку легитимного приложения и видит загруженное с сервера фишинговое окно, куда сам вводит данные банковской карты или криптокошелька. По команде сервера Gustuff может заполнять поля формы банковского приложения для мошеннической транзакции.
Вирус способен отправлять на сервер информацию о зараженном устройстве, позволяет переходить по ссылкам, читать и отправлять SMS, отправлять на сервер файлы, например фотографии или сканы документов, сбрасывать устройство до заводских настроек. Он умеет обходить защиту, которую банки применяют для противодействия мобильным троянам прошлого поколения, а также изменения в политике безопасности в новых версиях Android.
