Более ста крупнейших банков и как минимум 32 приложения для хранения криптовалюты могли быть атакованы Android-трояном Gustuff. Он разработан для автоматического вывода криптовалюты со счетов пользователей, также помогает злоумышленникам красть и фиат.
Специалисты по кибербезопасности компании Group-IB отметили, что Gustuff направлен на массовое заражение устройств. В нем реализована функция автоматического поражения криптокошельков и мобильных приложений банков.
Эксперты добавили:
Gustuff попадает на Android-смартфоны через SMS-рассылки со ссылками на APK-файлы. В дальнейшем Gustuff распространяется по базе контактов инфицированного телефона, либо по базе данных сервера. Функция автозалива реализована при помощи сервиса для людей с ограниченными возможностями Accessibility Service и позволяет злоумышленникам взаимодействовать с элементами окон других приложений.
Если троян получит соответствующую команду от сервера, он сможет нажимать на кнопки и изменять значения текстовых полей в банковских приложениях. Благодаря механизму Accessibility Service он успешно обходит защиту, которую банки используют для противодействия мобильным троянам прошлого поколения. Кроме того, против него бессильны изменения в политике безопасности, внедренные Google в новые версии Android. Gustuff также способен демонстрировать фейковые Push-уведомления с иконками легитимных мобильных приложений, чтобы заставить пользователя запустить вредоносное ПО.
Эксперты проанализировали Gustuff и установили, что он нацелен:
- на криптокошельки Bitcoin Wallet, BitPay, Cryptopay, Coinbase
и т. д. ; - на приложения крупных банков, в частности, Bank of America, Bank of Scotland, JP Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank;
- на приложения PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut и других.
Защититься от Gustuff можно, если не переходить по ссылкам из подозрительных сообщений. Стоит также включить двухфакторную авторизацию там, где это возможно.