Нов вид троянски малуер за Android телефони е насочен към глобални потребители на топ крипто приложения като Coinbase, BitPay и Bitcoin Wallet, както и банки, включително JPMorgan, Wells Fargo и Bank of America.
Базирайки се на проучвания от известна фирма за анализ на киберпрестъпления, Group-IB, това е първият път, когато троянският вирус – сега наречен „Gustuff“ – е докладван или анализиран. Зловредният софтуер се описва като предназначен за масова инфекция и се разпространява чрез SMS съобщения с препращащи връзки, които директно качват злонамерени файлове на Android устройството.
Създателите на зловредният софтуер създават „Автоматични системи за прехвърляне“, които имат за цел да ускорят и мащабират кражбите, като задействат автоматично попълване на платежни полета за законни приложения на Android, за да пренасочат злонамерено прехвърлянията към хакерите.
Приложението е предназначено да издаде множество „уеб фалшификати“, които имитират законните приложения за фишинг на чувствителни данни от потребителите – специално насочени към клиенти от 32 различни крипто приложения. Push известията, използващи легитимни икони, са още едно устройство, което злонамереният софтуер използва за автоматизиране на изтеглянето на фалшиви приложения и за активиране на автоматичното попълване на транзакции.
Съобщава се, че Group IB идентифицира 27 фалшиви крипто и банкови приложения, специфични за САЩ, 16 за Полша, 10 за Австралия, 9 за Германия и 9 за Индия. Зловредният софтуер също така е насочен към платежни системи и куриерски услуги като PayPal, Revolut, Western Union, eBay, Walmart, Skype и WhatsApp.
Използването на механизма за достъпност на услугата означава, че троянецът може да заобиколи промените в политиката на Google за сигурност, въведени в новите версии на операционната система Android. Освен това, Gustuff знае как да изключи Google Protect; според разработчика на вируса, тази функция работи в 70% от случаите.
Group IB отбелязва, че Gustuff е проектиран от руско-говорящ киберпрестъпник с прякор „Bestoffer“, но все още е насочен към клиенти на международни компании, предимно извън Русия.
Потребителите на Android се съветват от Group IB да изтеглят приложения само от Google Play магазина и да обръщат внимание на разширенията на изтеглените файлове.
Първата половина на 2025 г. се превърна в най-разрушителния шестмесечен период в историята на криптовалутите, като според нови данни са откраднати над $2.1 милиарда в над 75 отделни случая.
Нов вид кибератаки се разпространява в крипто медиите, като използва изскачащи прозорци на сайтове и съобщения за свързване с портфейли, вместо бъгове в смарт договорите.
CoinMarketCap, една от най-широко използваните платформи за проследяване на крипто данни, според съобщения се сблъсква с нарушение на сигурността, като много потребители получават съмнително съобщение да потвърдят портфейлите си.
Известен инвеститор в крипто VC компанията Hypersphere стана жертва на сложна фишинг атака, която унищожи значителна част от личните му спестявания.