Новый троян Gustuff использует уязвимости криптовалют и банковских приложений
В даркнете появился новый троян для Android, Gustuff, который нацелен на более 125 криптовалют и около 500 банковских приложений.
Gustuff существует с апреля 2018 года и является, наряду с Anubis, Red Alert и BankBot, одной из наиболее опасных угроз для финансового пространства. Компания по кибербезопасности Group-IB предполагает, что Gustuff может получить доступ к регистрационным данным и автоматизировать транзакции для различных банковских и криптовалютных приложений, включая Capital One, Wells Fargo, PNC Bank, Coinbase и кошельки биткоина. Также известно, что он нацелен на учетные данные других программ оплаты и обмена сообщениями, включая Western Union, PayPal, Walmart и Skype.
Gustuff функционирует преимущественно благодаря использованию службы Android Accessibility. Предназначена для людей с ограниченными возможностями, служба может выбирать элементы экрана и автоматизировать взаимодействие для пользователей, которые сами этого не могут сделать.
Рустам Миркасимов (Rustam Mirkasymov), руководитель динамического анализа департамента вредоносных программ Group-IB, говорит, что такое поведение не является характерным для большинства троянов, но Gustuff имеет свойство, которое делает его более опасным:
Трояны, которые используют сервис доступности, не являются редким явлением. Уникальной особенностью Gustuff является то, что он выполняет ATS с помощью сервиса доступности. Тот факт, что Gustuff использует ATS, делает его еще более продвинутым, чем Anubis, Red Alert.
ATS означает автоматический трансфер-сервис. Транзакции проходят через инфицированные компьютеры при использовании ATS, то есть Gustuff не требует поиска учетных данных для входа, которые он будет использовать для кражи средств. Вместо этого он просто заражает компьютер или мобильное устройство и заполняет учетные данные самостоятельно оттуда, позволяя осуществить финансовые трансферты.
Вероятно Gustuff может отключить безопасности Google Play Protect и показывать индивидуальные push-уведомления, которые представляют собой определенные программы, которые могут похищать регистрационную информацию. Он может собирать данные из документов, видео и фотографий и, по сообщениям, способен сбрасывать электронные устройства в начальных заводских настроек, чтобы скрыть свое присутствие.
Хорошая новость заключается в том, что Gustuff является пока не слишком распространенным и троян никогда не загружался в магазине приложений Google Play Store. До настоящего времени, отмечают Group-IB, троянская программа, в первую очередь, распространялась через SMS-спам, в котором размещаются ссылки на файлы инсталляции.
К сожалению мир криптовалют, по-прежнему наполнен мошенниками и преступниками и их продуктами. Потенциальные хакерские атаки криптовалютных бирж, таких как CoinBene и DragonEx, свидетельствуют о том, что безопасность и конфиденциальность в цифровом валютном мире не являются достаточными, но аналитики говорят, что методы защиты есть.
Group-IB прокомментировала, что если пользователи хотят избежать троянов, таких как Gustuff, они должны ограничиться загрузками приложений, доступными через Google Play, поскольку Gustuff не смог обойти сканирования безопасности Google. Пользователи никогда не должны загружать программы из сторонних магазинов и всегда должны включать режимы подписи для своих устройств. Это гарантирует, что, если регистрационные данные будут украдены, устройства, из которых происходят кражи, со временем могут быть отслежены.
