Троян «Густафф» на Android может взломать банковское приложение, криптокошелек или мессенджер

Новый банковский троян для мобильной платформы Google набирает популярность у кибер-преступников. «Густафф» (Gustuff) доступен злоумышленникам почти год, и за это время постепенно получил несколько обновлений, став мощным инструментов в руках хакеров для взлома кошельков криптовалют и банковских приложений. В общей сложности троянское приложение угрожает клиентам более сотни банков и трех десятков кошельков «крипты». Также «Густафф» способен воровать регистрационные данные от платежных приложений на Android и мессенджеров.

Троян «Густафф» присоединился к ряду уже обнаруженных серьезных угроз на Android, в числе которых Anubis, Red Alert, Exobot, LokiBot и BankBot. Согласно оценке экспертов Group-IB (компания занимается кибер-безопасностью), приложение злоумышленников способно через фишинг заполучить платежные пароли пользователей и доступ к автоматизированным банковским транзакциями в более чем 100 банковских приложений. Кроме того, троян способен выудить логины и пароли от 32 приложений для работы с криптовалютами.

В числе «жертв»  Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank и PNC Bank. Среди крипто-приложений под угрозой находятся пользователи таких популярных программ на Android, как BitPay, Cryptopay, Coinbase и Bitcoin Wallet. Кроме того, «Густафф» может украсть пароли от таких платежных систем и мессенджеров, как PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut и так далее.

Уникальный трюк «Густаффа»

Работает мощный хакерский инструментарий как и другие банковские трояны на Android, доступные злоумышленникам. В нем используются механизмы социального инженеринга, чтобы пользователь сам разрешил трояну получить доступ к сервису Android Accessibility, который помогает пользователями с ограничениями и как достаточно мощный инструмент способен автоматизировать взаимодействие с пользовательским интерфейсом и инициировать нажатия по экрану от имени пользователя.

Большинство банковских троянов под Android использует этот сервис, чтобы получить права администратора и выводить поддельные страницы для входа поверх других приложений. Однако, «Густафф» более тонко использует Android Accessibility, что делает его эффективным и опасным на фоне конкурентов.

«Трояны, использующие Android Accessibility, встречаются довольно часто», - сообщает специалист из Group-IB, - «Уникальность Густаффа заключается в том, что он способен выполнять ATS с помощью этого сервиса платформы для людей с ограничениями».

ATS – специфический для сферы банкинга (и хакерских инструментов для взлома банковских приложений) термин. Он расшифровывается как Automatic Transfer Service, т. е. сервис автоматического перевода. В банковских троянах использование ATS означает, что приложению не обязательно воровать логин и пароль, а затем с их помощью на другом компьютере красть деньги со счета. Вместо этого «Густафф» может проводить транзакции прямо с зараженного телефона.

Благодаря сервису Android Accessibility троян может реализовать систему ATS прямо на телефоне пользователя. «Густафф» может открывать приложения, вводить все необходимые для входа и проведения транзакции детали, а также самостоятельно подтверждать переводы.

Банковские трояны для Windows годами умеют воровать таким образом деньги благодаря сервису VNC, однако на Android реализация ATS на уровне трояна остается редкостью. То, что «Густафф» использует ATS означает, что это более продвинутый и эффективный инструмент, чем Anubis и RedAlert.

Google Play Маркет пока чист

Хотя троян «Густафф» обходит конкурентов по функционалу и эффективности, популярным он не стал. Его ни разу не удалось внедрить в приложения, публикуемые на Google Play Маркет, официальном магазине программ для смартфонов на базе Android. Пока, в отличие от аналогов, «Густаффу» не удается обмануть сканирование системы безопасности Google.

На данный момент единственным массовым способом распространения этого трояна остается SMS-спам со ссылкой на скачивание установочного файла APK с вредоносным приложением. На рынке троян появился в апреле 2019 года, когда его автор начал продвигать свой продукт на широко известном русскоязычном форуме кибер-преступников.

Другие функции трояна «Густафф»

Кроме встроенной системы ATS, завязанной на Accessibility Service в Android, у трояна есть и другие функции. Согласно рекламе, «Густафф» может отключить Защиту Google Play, встроенную в приложение Google Play. Автор уверяет, что отключение срабатывает в 70% случаев.

Троян также способен показывать фальшивые пуш-уведомления от имени любого приложения, однако по нажатию открывается либо веб-страница с фишинговой формой для кражи логина и пароля какого-то сервиса, либо запуска нужного приложения, в котором троян автоматически заполняет нужные формы и использует сервис Accessibility для автоматизированного перевода денег без ведома пользователя.

Наконец, «Густафф» способен собирать и отсылать своим хозяевам данные с зараженного устройства, включая документы, фото и видео. Если необходимо, троян может принудительно сделать сброс телефона на заводские настройки. Пригодится «злоумышленнику», если ему необходимо скрыть присутствие трояна на телефоне и стереть все следы его деятельности.

.

Постоянный адрес публикации: http://www.procontent.ru/news/31470.html