Новая разновидность троянских программ для телефонов на базе Android ориентирована на глобальных пользователей самых популярных криптовалютных приложений, таких как Coinbase, BitPay и Bitcoin Wallet, а также на банковские приложения, включая JPMorgan, Wells Fargo и Bank of America. Об этом сообщило новостное агентство The Next Web.
Основываясь на исследованиях известной аналитической фирмы в области киберпреступлений Group-IB, сообщается, что это первый случай, когда был зарегистрирован или проанализирован троян, получивший название «Gustuff». Вредоносная программа описана как предназначенная для массового заражения и распространяется посредством SMS-сообщений со ссылками для загрузки вредоносных файлов.
По сообщениям, создатели вредоносного ПО создали «автоматические системы переводов», которые должны ускорить и масштабировать кражи, инициируя автоматическое заполнение полей оплаты для нормальных Android-приложений, чтобы таким образом перенаправить переводы хакерам.
Предполагается, что приложение выпускает множество «веб-фейков», которые имитируют нормальные приложения и таким образом крадутся конфиденциальные данные пользователей. Особое внимание уделено клиентам 32 различных криптовалютных приложений. Push-уведомления с использованием иконок приложений - это еще один способ, который использует вредоносная программа для автоматизации загрузки фейковых приложений и запуска автозаполнения полей для транзакций.
Как сообщается, Group IB определила 27 поддельных криптовалютных и банковских приложений, нацеленных для обмана пользователей из США, 16 для Польши, 10 для Австралии, 9 для Германии и 9 для Индии. Вредоносное ПО также ставит под прицел платежные системы и службы обмена сообщениями, такие как PayPal, Revolut, Western Union, eBay, Walmart, Skype и WhatsApp.
По сообщениям, для того, чтобы функционировать, Gustaff использует специальные возможности Android, разработанные для пользователей с ограниченными возможностями, и Group IB характеризует это как относительно редкий и эффективный прием:
«Использование механизма Accessibility Service означает, что троян может обойти изменения в политике безопасности Google, введенные в новых версиях ОС Android. Более того, Gustuff знает, как отключить Google Protect и эта функция работает в 70% случаев».
Group IB отмечает, что Gustuff был разработан русскоязычным киберпреступником по прозвищу «Bestoffer», но в то же время нацелен на клиентов международных фирм, в основном за пределами России.
Group IB рекомендует пользователям Android загружать приложения только из магазина Google Play и обращать внимание на расширения загружаемых файлов.
Специально для mmgp.ru