Новий троян Gustuff використовує вразливості криптовалют та банківських додатків

[Solomon]

В даркнеті з’явився новий троян для Android, Gustuff, який націлений на понад 125 криптовалют та близько 500 банківських додатків.

Gustuff існує з квітня 2018 року і є, разом з Anubis, Red Alert і BankBot, однією з найбільш небезпечних загроз для фінансового простору. Компанія з кібербезпеки Group-IB припускає, що Gustuff може отримати доступ до реєстраційних даних та автоматизувати транзакції для різноманітних банківських і криптовалютних додатків, включаючи Capital One, Wells Fargo, PNC Bank, Coinbase і гаманці біткойна. Також відомо, що він націлений на облікові дані інших програм оплати та обміну повідомленнями, включаючи Western Union, PayPal, Walmart та Skype.

Gustuff функціонує переважно завдяки використанню служби Android Accessibility. Призначена для людей з обмеженими можливостями, служба може вибирати елементи екрану та автоматизувати взаємодію для користувачів, які самі цього не можуть зробити.

Рустам Міркасимов (Rustam Mirkasymov), керівник динамічного аналізу департаменту шкідливих програм Group-IB, каже, що така поведінка характернa для більшості троянів, але Gustuff має властивість, яка робить його більш небезпечною:

Трояни, які використовують сервіс доступності, не є рідкісним явищем. Унікальною особливістю Gustuff є те, що він виконує ATS за допомогою сервісу доступності. Той факт, що Gustuff використовує ATS, робить його ще більш просунутим, ніж Anubis, Red Alert.

ATS означає автоматичний трансфер-сервіс. Транзакції відбуваються через інфіковані комп'ютери при використанні ATS, тобто Gustuff не потребує пошуку облікових даних для входу, які він буде використовувати для крадіжки коштів. Замість цього він просто заражає комп'ютер або мобільний пристрій і заповнює облікові дані самостійно звідти, дозволяючи здійснити фінансові трансферти.

Ймовірно Gustuff може вимкнути функцію безпеки Google Play Protect і показувати індивідуальні push-сповіщення, які представляють собою певні програми, які можуть викрадати реєстраційну інформацію. Він може збирати дані з документів, відео та фотографій і, за повідомленнями, здатний скидати електронні пристрої до початкових заводських налаштувань, щоб приховати свою присутність.

Хороша новина полягає в тому, що Gustuff поки що не є надто поширеним і троян ніколи не завантажувався в магазин додатків Google Play Store. До теперішнього часу, зазначають Group-IB, троянська програма, в першу чергу, поширювалася через SMS-спам, в якому розміщуються посилання на файли інсталяції.

На жаль світ криптовалют, як і раніше, наповнений особами та продуктами, які мають шкідливі наміри. Потенційні хакерські атаки криптовалютних бірж, таких як CoinBene і DragonEx, свідчать про те, що безпека та конфіденційність у цифровому валютному світі не є достатніми, але аналітики кажуть, що методи захисту існують.

Group-IB прокоментувала, що якщо користувачі хочуть уникнути троянів, таких як Gustuff, вони повинні обмежитися завантаженнями додатків, доступних через Google Play, оскільки Gustuff не зміг обійти сканування безпеки Google. Користувачі ніколи не повинні завантажувати програми зі сторонніх магазинів і завжди повинні вмикати режими підпису для своїх пристроїв. Це гарантує, що, якщо реєстраційні дані будуть вкрадені, пристрої, з яких відбуваються крадіжки, з часом можуть бути відстежені.



Джерело
http://coinews.io/ua/category/1-kripto/article/3995-novij-troyan-gustuff-vikoristovu%D1%94-vrazlivost%D1%96-kriptovaljut-ta-bank%D1%96vs'kih-dodatk%D1%96v