Известная аналитическая фирма Group-IB, специализирующаяся на исследованиях киберпреступности, выпустила исследование относительно нового типа трояна для систем на базе операционной системы Android. Пользователи таких популярных мобильных криптоприложений, как Coinbase, BitPay и Bitcoin Wallet, а также банковских приложений, включая JPMorgan, Wells Fargo и Bank of America, находятся в зоне риска, пишет The Next Web.
Троян, получивший название «Gustuff», был впервые проанализирован совсем недавно. Вредоносная программа описана как предназначенная для массового заражения и распространяется посредством SMS-сообщений со ссылками для загрузки пакетов вредоносных файлов под Android. Сообщается, что создатели вредоносного ПО создали «Автоматические системы передачи», которые призваны ускорить и масштабировать кражи, инициируя автоматическое заполнение полей оплаты для маскирующихся под легальные Android-приложений, чтобы перенаправить переводы хакерам.
Предположительно, приложение встроено во множество «веб-фальшивок», которые имитируют легальные приложения для фишинга и кражи конфиденциальных данных от пользователей. В зоне особенного риска находятся пользователи 32 наиболее популярных крипто-приложений, но этот список может пополниться. Еще один способ, которые использует программа для автоматизации загрузки поддельных приложений и запуска автозаполнения транзакций, это push-уведомления, маскирующиеся под значки реальных приложений.
Group-IB выявила двадцать семь поддельных крипто-и банковских приложений, характерных для США, шестнадцать для Польши, десять для Австралии, девять для Германии и девять для Индии. Вредоносное ПО также нацелено на платежные системы и службы обмена сообщениями, такие как PayPal, Revolut, Western Union, eBay, Walmart, Skype и WhatsApp.
По сообщениям, для своей работы Gustaff использует специальные возможности Android, разработанные для пользователей с ограниченными возможностями. Group IB характеризует это как относительно редкий и эффективный прием:
«Использование механизма Accessibility Service означает, что троянец может обойти [...] изменения в политике безопасности Google, введенные в новых версиях ОС Android. Более того, Gustuff знает, как отключить Google Protect. По словам разработчиков троянцев, эта функция работает в 70% случаев».
Впервые зафиксированный на хакерских форумах в апреле 2018 года, Gustuff, по сведениям Group-IB, разработан русскоговорящим киберпреступником, действующим под ником «Bestoffer». Тем не менее, троянец нацелен в основном на клиентов международных фирм, действующих за пределами России.
Group IB рекомендует пользователям Android загружать приложения строго из магазина Google Play и обращать внимание на расширения загружаемых файлов.
Google Play со своей стороны придерживается политики нетерпимости по отношению к подозрительным криптовалютным приложениям, приложениям с функцией скрытого майнинга и следящим ПО. Как сообщалось в феврале, децентрализованное приложение METAMASK было удалено из Google Play после того, как исследователи обнаружили вредоносное ПО, представляющее собой инструмент для кражи криптовалют у пользователей.
