МОСКВА, 28 мар — ПРАЙМ. Специализирующаяся на предотвращении киберугроз компания Group-IB фиксирует активность мобильного Android-трояна Gustuff, мишенями которого являются клиенты международных банков, пользователи мобильных криптокошельков, а также крупных e-commerce ресурсов, говорится в извещенье компании.
Целью трояна является, в том числе, вывод фиатных (традиционных) денег и криптовалюты со счетов пользователей. Потенциально он наведён на пользователей мобильных приложений крупнейших банков (Bank of America, Bank of Scotland, J.P.Morgan), маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров (PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett, Revolut) и криптокошельки (Bitcoin Wallet, BitPay, Cryptopay, Coinbase и иные).
По данным Group-IB, на сегодня среди целей Gustuff — пользователи 32 приложений для хранения криптовалют и клиенты немало 100 банков, в том числе 27 — в США, 16 — в Польше, 10 — в Австралии, 9 — в Германии и 8 — в Индии. При этом эксперты помечают, что Gustuff «работает» исключительно на международных рынках, но в отдельных случаях может быть использован и в РФ.
Троян проникает на Android-смартфоны линией отправки sms со ссылками на APK (Android Package Kit, формат архивных исполняемых файлов-приложений для Android). При заражении устройства троян может распространиться по базе контактов телефона, либо по базе этих сервера. В Gustuff присутствует функция «автозалива» в легитимные мобильные банковские приложения и криптокошельки, что позволяет ускорить и масштабировать кражу денежек.
Троян способен выполнять необходимые для злоумышленников действия – например, нажимать на кнопки и изменять значения текстовых пустотелее в банковских приложениях. Также Gustuff может показывать фейковые push-уведомления с иконками легитимных мобильных приложений, кликая на какое пользователь видит загруженное с сервера фишинговое окно, куда сам вводит запрашиваемые данные банковской карты или криптокошелька. По команде сервера Gustuff может заполнять поля конфигурации банковского приложения для мошеннической транзакции.
В функционал Gustuff также входят отправка на сервер информации о зараженном конструкции, возможность чтения/отправки sms, переход по ссылке, отправление файлов (в том числе фотосканы документов, фотографии) на сервер, сброс конструкции до заводских настроек. Также троян может обходить механизмы защиты, используемые банками для противодействия мобильным троянам прошедшего поколения, а также изменения в политике безопасности, внедренные Google в новые версии Android.