Новый Android-троян Gustuff опустошает счета и выводит криптовалюту

Новый Android-троян Gustuff опустошает счета и выводит криптовалюту

Новый Android-троян Gustuff опустошает счета и выводит криптовалюту

Опасный троян для мобильных устройств на базе Android атакует клиентов международных банков, пользователей мобильных криптокошельков и крупных ресурсов электронной коммерции. Вредонос получил имя Gustuff, подробно о его деятельности рассказали специалисты международной компании Group-IB, занимающейся предотвращением киберугроз.

Исходя из анализа Group-IB, вредоносную программу Gustuff писали профессионалы — троян учитывает все современные реалии и обладает богатым набором возможностей. Например, полностью автоматизированные функции позволяют ему выводить фидуциарные деньги и криптовалюту со счетов пользователей.

Изначально в качестве жертв Gustuff выбрал клиентов следующих банков: Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank, а также владельцев криптовалютных кошельков Bitcoin Wallet, BitPay, Cryptopay, Coinbase.

Первая версия зловреда атаковала преимущественно Android-приложения банков, финтех-компаний и криптовалютных кошельков.

Чуть позже авторы вредоносной программы пополнили список его жертв, среди которых теперь пользователи приложений маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров. Таким образом, в опасности люди, использующие PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut и другие системы.

По словам специалистов Group-IB, Gustuff распространяется стандартным способом, который уже давно применяется злоумышленниками для заражения Android-устройств, — через SMS-сообщения, содержащие ссылки на загрузку вредоносного файла APK.

При этом киберпреступники снабдили троян возможностью распространения по базе контактов. Одна из важнейших задач Gustuff — распространить себя на максимально возможное количество устройств, обеспечив своим авторам максимальную капитализацию бизнеса.

Троян также отметился одной из уникальных функций — в Group-IB ее назвали «автозаливом» в легитимные мобильные банковские приложения и криптокошельки. Именно реализация такой возможности позволяет Gustuff ускорить и масштабировать кражу денег.

Для «автозалива» вредоносная программа использует сервис операционной системы Android, известный как Accessibility Service (его и ранее использовали различные вредоносы). В частности, этот сервис для людей с ограниченными возможностями используется для симуляции действий пользователя.

Другими словами, троян может нажимать на любые кнопки, а также менять значения текстовых полей в банковских приложениях — все зависит от того, что ему прикажет оператор.

Более того, у Gustuff были обнаружены возможности отображения фейковых PUSH-уведомлений с иконками легитимных мобильных приложений. При нажатии на такие окна пользователь попадает на фишинговые страницы, которые имитируют легитимные ресурсы кредитных организаций.

«В целях защиты своих клиентов от угрозы мобильных троянов компании должны использовать комплексные решения, которые позволяют без установки дополнительного программного обеспечения на устройства пользователей, отслеживать и предупреждать вредоносную активность», — объясняет Павел Крылов, руководитель направления Group-IB Secure Bank.

«Для этого сигнатурные методы обнаружения мобильных троянов необходимо усиливать технологиями анализа поведения как клиента, так и самого приложения. Также защита должна включать в себя функцию идентификации устройств с использованием технологии цифрового отпечатка, что позволит понять, когда учётная запись используется с нетипичного устройства и уже попала в руки мошенника».

«Принципиально важный момент – наличие возможности кросс-канального анализа, что дает возможность компаниям контролировать риски, возникающие на стороне не только интернет-, но и мобильного канала, например, в приложениях для мобильного банкинга, для операций с криптовалютами и любых других, где может осуществляться финансовая транзакция».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Из-за вайб-кодинга доля уязвимостей в ИИ-сервисах достигла 5%

Эксперты центра расследования киберугроз Solar 4RAYS (группа компаний «Солар») сообщили о новом тренде: в третьем квартале 2025 года 5% всех обнаруженных уязвимостей пришлись на ИИ-сервисы. Раньше таких случаев просто не было.

По мнению специалистов, всплеск связан с популярностью так называемого «вайб-кодинга» — когда разработчики используют нейросети для генерации кода без последующей проверки и тестирования.

Почти 300 уязвимостей за квартал

В обзор Solar 4RAYS вошла статистика по более чем 200 продуктам — веб-приложениям, сайтам и сетевому оборудованию. Всего за квартал эксперты выявили 296 уязвимостей, что на 38% больше, чем во втором квартале.

81% из них имеют сетевой вектор, то есть эксплуатируются через протоколы вроде HTTP, SSH, SMB и др. Причём 67% уязвимостей признаны критическими — это на 7% больше, чем ранее.

Бреши в ИИ-сервисах обнаружены в таких платформах, как Aibox, Liner, Telegai, Deepy и Chaindesk. В одном из кейсов — на платформе Ai2 Playground — баг позволял получить доступ к перепискам пользователей с чат-ботом.

В Solar 4RAYS уточняют, что большинство таких багов несложные и связаны с тем, что многие ИИ-проекты всё ещё находятся на стадии стартапов и не уделяют должного внимания безопасности.

Помимо ИИ-сервисов, 9% всех уязвимостей пришлись на WordPress, ещё 5% — на сетевое оборудование и столько же — на библиотеки для Node.js.

«Многие уязвимости связаны с классическими проблемами вроде XSS и IDOR. Они часто возникают, когда код создаётся искусственным интеллектом без ручной проверки. В индустрии это называют вайб-кодингом — программированием “на вдохновении”, без тестов и валидации данных», — объясняет Сергей Беляев, аналитик Solar 4RAYS.

Он добавляет, что ажиотаж вокруг ИИ в программировании стал одной из причин роста таких показателей. Чтобы избежать проблем, разработчикам стоит уделять особое внимание обработке пользовательских данных и проверке кода — как на клиентской, так и на серверной стороне.

По данным Solar 4RAYS, большинство найденных уязвимостей уже устранено, а информация о них будет использована для обновления правил обнаружения в продуктах и сервисах «Солара».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru