Густой навар Gustuff: новый Android-троян покоряет мир

Опубликовано at 12:21
345 0

Хит сезона – который в стремительном кибермире вполне может длиться неделю – это новый Android-троян Gustuff, который нацелен на клиентов международных банков, пользователей мобильных криптокошельков, платежных систем и мессенджеров. Как утверждают специалисты компании Group-IB, злоумышленники используют Gustuff для вывода криптовалюты со счетов пользователей. Заражение смартфонов на Android происходит через СМС с вредоносными ссылками.

Вирус распространяется быстро. К настоящему моменту его жертвами вируса стали пользователи 32 приложений для хранения криптовалют и клиенты более 100 банков. Анализ показал, что под угрозой находятся пользователи мобильных приложений крупнейших банков и криптокошельков.

В текущей версии вирус также нацелен на юзеров приложений онлайн-магазинов, платежных систем и мессенджеров. Среди них – PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi.

Исходя из анализа Group-IB, вредоносную программу Gustuff писали профессионалы – троян учитывает все современные реалии и обладает богатым набором возможностей. Например, полностью автоматизированные функции позволяют ему выводить фидуциарные деньги и криптовалюту со счетов пользователей.

Изначально в качестве жертв Gustuff выбрал клиентов следующих банков: Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank, а также владельцев криптовалютных кошельков Bitcoin Wallet, BitPay, Cryptopay, Coinbase.

Gustuff распространяется стандартным способом, который уже давно применяется злоумышленниками для заражения Android-устройств, — через SMS-сообщения, содержащие ссылки на загрузку вредоносного файла APK. При этом киберпреступники снабдили троян возможностью распространения по базе контактов.

Есть у Gustuff и свое ноу-хау. В Group-IB эту функцию назвали «автозаливом» в легитимные мобильные банковские приложения и криптокошельки. Именно реализация такой возможности позволяет Gustuff ускорить и масштабировать кражу денег.

Для «автозалива» вредоносная программа использует сервис операционной системы Android, известный как Accessibility Service (его и ранее использовали различные вредоносы, см. статьи ниже). В частности, этот сервис для людей с ограниченными возможностями используется для симуляции действий пользователя.

Читайте также на АКБ:

…Эксперты по кибербезопасности компании ESET обнаружили трояна для Android, который маскируется под реальное приложение для оптимизации работы батареи Optimization Battery. Следует отметить, пока вредонос был замечен только в сторонних каталогах приложений, но не в официальном Google Play.

Этот вредонос с удивительной скоростью похищает средства с аккаунтов PayPal, даже несмотря на включенную двухфакторную аутентификацию (он сам себе ее подтверждает). Уязвимым местом Android оказались запрашиваемые троянцем при установке права на использование специальных возможностей ОС (Accessibility Service), что в будущем позволяет ему автоматически имитировать нажатия и другие действия пользователя.

…Исследователи из Cisco Talos обнаружили новую любопытную троянскую программу для Android, которая обладает модульной структурой. В настоящее время вирус Gplayed пока еще, по-видимому, «обкатывается» создателями, но уже версия, доступная на стадии тестирования, показывает, что в будущем троянец способен превратиться в большую угрозу.

Вирус нарекли GPlayed, так как он в качестве маскировки выдавал себя за клиент Google Play: вплоть до того, что использовал схожую (но не идентичную) иконку и назывался Google Play Marketplace. При установке троян, рассчитывая на невнимательность пользователя, запрашивает привилегии администратора и разрешение на доступ к настройкам.

…Эксперты по кибербезопасности из RiskIQ обнаружили довольно необычного вредоноса для Android, который маскируется под энергооптимизатор и похищает личные данные пользователей.

Необычность программы под названием Advanced Battery Saver в том, что она и вправду оптимизирует энергозатраты устройства, и делает это неплохо. ПО проводит мониторинг состояния батареи и осуществлят принудительное завершение энергоемких процессов. Распространяется программа через официальный магазин Google Play. Обычно вирусы, маскирующиеся под полезное ПО, имитируют ошибку при запуске, так как не обладают на самом деле заявленным функционалом.

Подписываемся, следим @CyberAgency

Related Post

Экс-разработчик плагина WordPress Multilingual взломал сайт своей компании и устроил рассылку спама

Опубликовано - 24.01.2019 0
Странная история приключилась с плагином WPML, одним из наиболее популярных решений для поддержки нескольких языков на WordPress-сайтах. Согласно официальной статистике, плагин…

Новый нейроинтерфейс озвучивает мысли вслух

Опубликовано - 03.04.2020 0
Недалек тот час, когда не способные говорить люди обретут дар речи. Ученые Калифорнийского университета в Сан-Франциско разработали нейроинтерфейс, который считывает электроимпульсы…

Добавить комментарий