Компания Group-IB зафиксировала активность мобильного Android-трояна Gustuff, жертвами которого могут стать клиенты международных банков, а также пользователи мобильных криптокошельков и ресурсов электронной коммерции.
Задача этого трояна - вывод со счетов пользователей как обычных денег, так и криптовалюты. Он потенциально нацелен на пользователей мобильных приложений крупнейших банков, таким как Bank of America, Bank of Scotland или J.P. Morgan, маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров, например, PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett, Revolut, а также криптокошельков, таким как Bitcoin Wallet, BitPay, Cryptopay, Coinbase.
На настоящее время пойдет речь о 32 приложениях для хранения криптовалют и клиентах более 100 банков в в США, Польше, Австралии, Германии и Индии, отметили в Group-IB. При этом эксперты пояснили, что Gustuff работает исключительно на международных рынках, но изредка может использоваться и в России.
Троян проникает на Android-смартфоны через SMS со ссылками на архивы с расширением APK (формат исполняемых файлов-приложений для Android), а затем распространяется по базе контактов телефона или информационной базе сервера. Причем у Gustuff есть функция автозалива в мобильные банковские приложения и криптокошельки, что позволяет ускорить и увеличить кражу денег.
После загрузки на телефон троян получает возможность выполнять нужные для преступников действия - например, давить на кнопки и вероломствовать значения текстовых полей в банковских приложениях. Кроме того, он в состоянии показывать фейковые push-уведомления. В таких случаях пользователь кликает на иконку легитимного приложения и видит загруженное с сервера фишинговое окно, куда сам вводит данные банковской карты или криптокошелька. Gustuff также может по манию сервера наполнять поля формы банковского приложения для мошеннической транзакции.
Вирус способен отправлять на сервер информацию о зараженном устройстве, позволяет переходить по ссылкам, читать и отправлять SMS, отправлять на сервер файлы, например. фотографии или сканы документов, скидывать устройство до заводских настроек. Он умеет класть в основу защиту, которую банки применяют для сопротивления мобильным троянам минувшего поколения, а также изменения в политике безопасности в новых версиях Android.