Un nou virus de tip troian pentru telefoanele Android vizează utilizatorii globali de aplicații pentru criptomonede, cum ar fi Coinbase, BitPay și Bitcoin Wallet, precum și bănci, printre care JPMorgan, Wells Fargo și Bank of America.
Pe baza cercetărilor efectuate de firma de analiză a criminalității informatice Group-IB, aceasta este prima dată când troianul – denumit acum “Gustuff” – a fost raportat sau analizat. Malware-ul este descris ca fiind conceput pentru infecții în masă și este răspândit prin mesaje SMS cu link-uri pentru a încărca fișierele cu set de pachete malware Android.
Creatorii de programe malware au creat “Sisteme automate de transfer” care au ca scop accelerarea și reducerea furturilor prin declanșarea câmpurilor automate de plată pentru ca aplicațiile legitime Android să redirecționeze în mod malefic transferurile către hackeri. Aplicația intenționează să lanseze o serie de “fakeuri web” care imită aplicațiile legitime pentru a accesa date delicate de la utilizatori – vizând în special utilizatorii a 32 de aplicații pentru criptomonede diferite. Transmiterea notificărilor utilizând pictogramele legitime este un alt dispozitiv pe care malware-ul îl folosește pentru a automatiza descărcările de aplicații false și pentru a declanșa automate de tranzacție.
Grupul IB a identificat 27 de aplicații bancare și pentru criptomonede specifice Statelor Unite, 16 pentru Polonia, 10 pentru Australia, nouă pentru Germania și nouă pentru India. Malware-ul vizează, de asemenea, sistemele de plată și serviciile de mesagerie, cum ar fi PayPal, Revolut, Western Union, eBay, Walmart, Skype și WhatsApp.
Pentru a funcționa, Gustaff exploatează caracteristicile de accesibilitate Android destinate utilizatorilor, iar Grupul IB caracterizează acest lucru ca un truc relativ rar și eficient: “Folosind mecanismul Serviciului de Accesibilitate, troianul poate să păcălească politica de securitate Google introdusă în versiunile noi ale sistemului de operare Android. În plus, Gustuff știe cum să dezactiveze Google Protect; în funcție de dezvoltatorul troianului, această caracteristică funcționează în 70% din cazuri “.
Virusul a fost amintit pentru prima oară pe anumite forumuri de hackeri în aprilie 2018, iar Grupul IB notează că Gustuff a fost proiectat de un hacker vorbitor de limbă rusă, poreclit “Bestoffer”, dar se adresează clienților firmelor internaționale, în special din afara Rusiei. Utilizatorii de Android sunt sfătuiți de grupul IB să descarce aplicații strict din magazinul Google Play și să acorde atenție extensiilor fișierelor descărcate.
După cum s-a raportat în luna februarie, aplicația descentralizată MetaMask a fost recent retrasă de pe Google Play, după ce cercetătorii au detectat malware-ul care făcea parte din acest instrument pentru a fura criptomonedele de la utilizatori.