Нов вид троянски малуер за Android телефони е насочен към глобални потребители на топ крипто приложения като Coinbase, BitPay и Bitcoin Wallet, както и банки, включително JPMorgan, Wells Fargo и Bank of America.
Базирайки се на проучвания от известна фирма за анализ на киберпрестъпления, Group-IB, това е първият път, когато троянският вирус - сега наречен "Gustuff" - е докладван или анализиран. Зловредният софтуер се описва като предназначен за масова инфекция и се разпространява чрез SMS съобщения с препращащи връзки, които директно качват злонамерени файлове на Android устройството.
Създателите на зловредният софтуер създават „Автоматични системи за прехвърляне“, които имат за цел да ускорят и мащабират кражбите, като задействат автоматично попълване на платежни полета за законни приложения на Android, за да пренасочат злонамерено прехвърлянията към хакерите.
Приложението е предназначено да издаде множество „уеб фалшификати“, които имитират законните приложения за фишинг на чувствителни данни от потребителите - специално насочени към клиенти от 32 различни крипто приложения. Push известията, използващи легитимни икони, са още едно устройство, което злонамереният софтуер използва за автоматизиране на изтеглянето на фалшиви приложения и за активиране на автоматичното попълване на транзакции.
Съобщава се, че Group IB идентифицира 27 фалшиви крипто и банкови приложения, специфични за САЩ, 16 за Полша, 10 за Австралия, 9 за Германия и 9 за Индия. Зловредният софтуер също така е насочен към платежни системи и куриерски услуги като PayPal, Revolut, Western Union, eBay, Walmart, Skype и WhatsApp.
За да функционира, Gustuff използва функции за достъпност на Android, предназначени за потребители с увреждания, като Group IB характеризира това като сравнително рядък и ефективен трик:
Използването на механизма за достъпност на услугата означава, че троянецът може да заобиколи промените в политиката на Google за сигурност, въведени в новите версии на операционната система Android. Освен това, Gustuff знае как да изключи Google Protect; според разработчика на вируса, тази функция работи в 70% от случаите.
Group IB отбелязва, че Gustuff е проектиран от руско-говорящ киберпрестъпник с прякор "Bestoffer", но все още е насочен към клиенти на международни компании, предимно извън Русия.
Потребителите на Android се съветват от Group IB да изтеглят приложения само от Google Play магазина и да обръщат внимание на разширенията на изтеглените файлове.
Както се съобщава през февруари, децентрализираното приложение MetaMask бе изтеглено от Google Play, след като изследователите откриха злонамерен софтуер, представящ се за MetaМask,с цел кражба на криптовалути от потребителите.
QR код към биткойн адреса:
QR код към етериум адреса:
