Новый Android-троян Gustuff опустошает счета и выводит криптовалюту

Новый Android-троян Gustuff опустошает счета и выводит криптовалюту

Новый Android-троян Gustuff опустошает счета и выводит криптовалюту

Опасный троян для мобильных устройств на базе Android атакует клиентов международных банков, пользователей мобильных криптокошельков и крупных ресурсов электронной коммерции. Вредонос получил имя Gustuff, подробно о его деятельности рассказали специалисты международной компании Group-IB, занимающейся предотвращением киберугроз.

Исходя из анализа Group-IB, вредоносную программу Gustuff писали профессионалы — троян учитывает все современные реалии и обладает богатым набором возможностей. Например, полностью автоматизированные функции позволяют ему выводить фидуциарные деньги и криптовалюту со счетов пользователей.

Изначально в качестве жертв Gustuff выбрал клиентов следующих банков: Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank, а также владельцев криптовалютных кошельков Bitcoin Wallet, BitPay, Cryptopay, Coinbase.

Первая версия зловреда атаковала преимущественно Android-приложения банков, финтех-компаний и криптовалютных кошельков.

Чуть позже авторы вредоносной программы пополнили список его жертв, среди которых теперь пользователи приложений маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров. Таким образом, в опасности люди, использующие PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut и другие системы.

По словам специалистов Group-IB, Gustuff распространяется стандартным способом, который уже давно применяется злоумышленниками для заражения Android-устройств, — через SMS-сообщения, содержащие ссылки на загрузку вредоносного файла APK.

При этом киберпреступники снабдили троян возможностью распространения по базе контактов. Одна из важнейших задач Gustuff — распространить себя на максимально возможное количество устройств, обеспечив своим авторам максимальную капитализацию бизнеса.

Троян также отметился одной из уникальных функций — в Group-IB ее назвали «автозаливом» в легитимные мобильные банковские приложения и криптокошельки. Именно реализация такой возможности позволяет Gustuff ускорить и масштабировать кражу денег.

Для «автозалива» вредоносная программа использует сервис операционной системы Android, известный как Accessibility Service (его и ранее использовали различные вредоносы). В частности, этот сервис для людей с ограниченными возможностями используется для симуляции действий пользователя.

Другими словами, троян может нажимать на любые кнопки, а также менять значения текстовых полей в банковских приложениях — все зависит от того, что ему прикажет оператор.

Более того, у Gustuff были обнаружены возможности отображения фейковых PUSH-уведомлений с иконками легитимных мобильных приложений. При нажатии на такие окна пользователь попадает на фишинговые страницы, которые имитируют легитимные ресурсы кредитных организаций.

«В целях защиты своих клиентов от угрозы мобильных троянов компании должны использовать комплексные решения, которые позволяют без установки дополнительного программного обеспечения на устройства пользователей, отслеживать и предупреждать вредоносную активность», — объясняет Павел Крылов, руководитель направления Group-IB Secure Bank.

«Для этого сигнатурные методы обнаружения мобильных троянов необходимо усиливать технологиями анализа поведения как клиента, так и самого приложения. Также защита должна включать в себя функцию идентификации устройств с использованием технологии цифрового отпечатка, что позволит понять, когда учётная запись используется с нетипичного устройства и уже попала в руки мошенника».

«Принципиально важный момент – наличие возможности кросс-канального анализа, что дает возможность компаниям контролировать риски, возникающие на стороне не только интернет-, но и мобильного канала, например, в приложениях для мобильного банкинга, для операций с криптовалютами и любых других, где может осуществляться финансовая транзакция».

Резервные копии Android начнут съедать место в Google-аккаунте

Google снова подкручивает правила хранения данных: теперь весь Android-бэкап будет учитываться в общем объёме хранилища Google-аккаунта. Изменение стартует 7 июля и касается резервных копий Android-устройств. Раньше в лимит попадали не все данные из бэкапа, а теперь считать будут буквально всё.

Android-бэкап — это не просто пара настроек на всякий случай, туда могут входить данные приложений, история звонков, контакты, настройки устройства, СМС и ММС, сведения аккаунта Google и другие элементы, которые помогают быстро восстановить телефон после сброса или переезда на новый аппарат.

Google в справке также указывает, что Android позволяет сохранять в аккаунт контент, данные и настройки устройства.

Хорошая новость: для большинства пользователей это не должно превратиться в катастрофу, сообщает 9to5Google. По данным Google, типичный бэкап займёт около 40 МБ.

Но нюанс есть: у каждого аккаунта размер резервной копии может отличаться, так что лучше всё-таки проверить, сколько места занимает именно ваш бэкап.

Заодно Google даст пользователям более тонкие настройки резервного копирования. Посмотреть, что именно сохраняется, можно в меню Google Backup на Android. Там же получится настроить, какие данные отправлять в облако, а какие оставить при себе.

Для тех, у кого место в аккаунте уже забито фотографиями, письмами и файлами, новость не самая приятная. Формально речь о небольшом объёме, но тренд понятен: бесплатное облако всё меньше похоже на бесконечный шкаф, куда можно годами скидывать всё подряд. Теперь даже Android-бэкап пришёл со своим маленьким счётом за хранение.

RSS: Новости на портале Anti-Malware.ru