32 приложения для хранения криптовалют и более 100 крупнейших банков по всему миру могут быть потенциально атакованы мобильным Android-трояном Gustuff. Вредоносная программа нацелена на автоматический вывод фиата и криптовалют со счетов пользователей. Об этом журналу ForkLog сообщили эксперты специализирующейся на кибербезопасности компании Group-IB.
По их словам, функциональные возможности Gustuff рассчитаны на массовое заражение и масштабную кражу денег – в нем присутствует уникальная функция «автозалива» в мобильные банковские приложения и криптокошельки.
«Gustuff попадает на Android-смартфоны через SMS-рассылки со ссылками на APK-файлы. В дальнейшем Gustuff распространяется по базе контактов инфицированного телефона, либо по базе данных сервера. Функция автозалива реализована при помощи сервиса для людей с ограниченными возможностями Accessibility Service и позволяет злоумышленникам взаимодействовать с элементами окон других приложений», — отмечают специалисты.
К примеру, по команде сервера троян может нажимать на кнопки и изменять значения текстовых полей в банковских приложениях. Механизм Accessibility Service позволяет трояну обходить защиту, используемую банками для противодействия мобильным троянам прошлого поколения, а также изменения в политике безопасности, внедренные Google в новые версии ОС Android. Также Gustuff может демонстрировать фейковые Push-уведомления с иконками легитимных мобильных приложений.
Анализ сэмпла Gustuff показал, что потенциально троян нацелен:
- на криптокошельки Bitcoin Wallet, BitPay, Cryptopay, Coinbase и другие;
- на клиентов, использующих мобильные приложения крупных банков: Bank of America, Bank of Scotland, JP Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank;
- на пользователей приложений маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров: PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut и других.
«В целях защиты своих клиентов компании должны усилить сигнатурные методы обнаружения мобильных троянов технологиями анализа поведения клиента и самого приложения. Также защита должна включать в себя функцию идентификации устройств с использованием цифрового отпечатка и кросс-канальный анализ для контроля за рисками на стороне не только интернет-, но и мобильного канала», — прокомментировал руководитель направления Group-IB Secure Bank Павел Крылов.
Напомним, в ноябре 2018 года специалисты компании Group-IB совместно с экспертами IT-платформы CryptoIns разработали скоринговую модель оценки кибербезопасности криптовалютных бирж. Решение включает программу страхования от киберугроз счетов пользователей платформ.
Источник