У даркнета появился новый солдат в форме Gustuff, новый Android-троян, предназначенный для кражи более чем 125 криптовалют и банковских приложений.
Gustuff существует с апреля 2018 года и поддерживает Anubis, Red Alert и BankBot как одну из самых смертоносных угроз финансовому пространству. Группа по кибербезопасности Group-IB предполагает, что Gustuff может раскрыть учетные данные для входа и автоматизировать транзакции для различных банковских и крипто-приложений, включая Capital One, Wells Fargo , PNC Bank, Coinbase и Bitcoin Wallet. Известно также, что он нацелен на учетные данные для других приложений для платежей и обмена сообщениями, включая Western Union, PayPal, Walmart и Skype.
Gustuff хочет твои деньги и криптовалюту
Gustuff работает преимущественно, принимая на себя службу доступности Android. Предназначенный для людей с ограниченными возможностями, сервис может касаться элементов экрана и автоматизировать взаимодействие для пользователей, которые не могут сделать это самостоятельно.
Рустам Миркасымов, руководитель отдела динамического анализа вредоносного ПО в Group-IB, говорит, что такое поведение неудивительно для большинства троянов, но у Gustuff есть черта, которая, по-видимому, делает его более опасным:
«Трояны, которые используют сервис доступности, не редкость. Уникальная особенность Gustuff заключается в том, что он выполняет ATS с помощью службы доступности. Тот факт, что Gustuff использует ATS, делает его еще более продвинутым, чем Anubis и RedAlert».
ATS означает автоматический трансфер. Транзакции происходят через зараженные компьютеры при использовании ATS, что означает, что Gustuff не нужно находить учетные данные для входа, которые он затем использовал бы для кражи средств. Вместо этого он просто заражает компьютер или мобильное устройство и самостоятельно вводит учетные данные, позволяя осуществлять финансовые переводы.
Gustuff может якобы отключить функцию безопасности Google Play Protect и показывать «настраиваемые push-уведомления», которые изображают из себя определенные приложения, которые могут украсть информацию для входа. Он может собирать данные из документов, видео и фотографий, и, как сообщается, способен сбрасывать электронные устройства до их исходных заводских настроек, чтобы скрыть свое присутствие.
Хорошей новостью является то, что популярность Gustuff не увеличилась, так как никогда не загружалась в приложения в Google Play Store. На данный момент Group-IB сообщает, что троян был распространен в основном через SMS-спам, в котором размещены ссылки на файлы установки.
ОБЕЗОПАСЬТЕ СЕБЯ
Независимо от того, что мы хотели бы думать, мир криптовалюты по-прежнему наполнен людьми и продуктами, которые преследуют злонамеренные цели. Потенциальные взломы бирж криптовалюты, такие как CoinBene и DragonEx в последние дни, предполагают, что безопасность и конфиденциальность в мире цифровых валют не совсем те, какими они должны быть, но аналитики говорят, что есть способы, оставаться защищенными.
Group-IB прокомментировала, что если пользователи хотят избежать троянов, таких как Gustuff, они должны ограничивать свои загрузки приложениями, строго доступными через Google Play, поскольку Gustuff не может обойти проверки безопасности Google. Пользователи никогда не должны загружать приложения из сторонних магазинов и всегда должны включать режимы подписи для своих устройств. Это гарантирует, что в случае кражи учетных данных для входа в систему их можно будет отследить на устройствах, с которых могла происходить кража.
Было интересно? Ставьте 👍 (like) и подписывайтесь на канал zen.yandex.ru/ff_ru
О нас
ФФ - Главный криптодайджест! Все самые интересные и важные события сразу на русском.