Новый Android-троян Gustuff опустошает счета и выводит криптовалюту

Новый Android-троян Gustuff опустошает счета и выводит криптовалюту

Новый Android-троян Gustuff опустошает счета и выводит криптовалюту

Опасный троян для мобильных устройств на базе Android атакует клиентов международных банков, пользователей мобильных криптокошельков и крупных ресурсов электронной коммерции. Вредонос получил имя Gustuff, подробно о его деятельности рассказали специалисты международной компании Group-IB, занимающейся предотвращением киберугроз.

Исходя из анализа Group-IB, вредоносную программу Gustuff писали профессионалы — троян учитывает все современные реалии и обладает богатым набором возможностей. Например, полностью автоматизированные функции позволяют ему выводить фидуциарные деньги и криптовалюту со счетов пользователей.

Изначально в качестве жертв Gustuff выбрал клиентов следующих банков: Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank, а также владельцев криптовалютных кошельков Bitcoin Wallet, BitPay, Cryptopay, Coinbase.

Первая версия зловреда атаковала преимущественно Android-приложения банков, финтех-компаний и криптовалютных кошельков.

Чуть позже авторы вредоносной программы пополнили список его жертв, среди которых теперь пользователи приложений маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров. Таким образом, в опасности люди, использующие PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut и другие системы.

По словам специалистов Group-IB, Gustuff распространяется стандартным способом, который уже давно применяется злоумышленниками для заражения Android-устройств, — через SMS-сообщения, содержащие ссылки на загрузку вредоносного файла APK.

При этом киберпреступники снабдили троян возможностью распространения по базе контактов. Одна из важнейших задач Gustuff — распространить себя на максимально возможное количество устройств, обеспечив своим авторам максимальную капитализацию бизнеса.

Троян также отметился одной из уникальных функций — в Group-IB ее назвали «автозаливом» в легитимные мобильные банковские приложения и криптокошельки. Именно реализация такой возможности позволяет Gustuff ускорить и масштабировать кражу денег.

Для «автозалива» вредоносная программа использует сервис операционной системы Android, известный как Accessibility Service (его и ранее использовали различные вредоносы). В частности, этот сервис для людей с ограниченными возможностями используется для симуляции действий пользователя.

Другими словами, троян может нажимать на любые кнопки, а также менять значения текстовых полей в банковских приложениях — все зависит от того, что ему прикажет оператор.

Более того, у Gustuff были обнаружены возможности отображения фейковых PUSH-уведомлений с иконками легитимных мобильных приложений. При нажатии на такие окна пользователь попадает на фишинговые страницы, которые имитируют легитимные ресурсы кредитных организаций.

«В целях защиты своих клиентов от угрозы мобильных троянов компании должны использовать комплексные решения, которые позволяют без установки дополнительного программного обеспечения на устройства пользователей, отслеживать и предупреждать вредоносную активность», — объясняет Павел Крылов, руководитель направления Group-IB Secure Bank.

«Для этого сигнатурные методы обнаружения мобильных троянов необходимо усиливать технологиями анализа поведения как клиента, так и самого приложения. Также защита должна включать в себя функцию идентификации устройств с использованием технологии цифрового отпечатка, что позволит понять, когда учётная запись используется с нетипичного устройства и уже попала в руки мошенника».

«Принципиально важный момент – наличие возможности кросс-канального анализа, что дает возможность компаниям контролировать риски, возникающие на стороне не только интернет-, но и мобильного канала, например, в приложениях для мобильного банкинга, для операций с криптовалютами и любых других, где может осуществляться финансовая транзакция».

Мошенники начали звонить от имени соседей и звать в чат про бомбоубежище

Мошенники снова поймали тревожную тему и собрали из неё новую схему. Теперь они звонят людям якобы от имени соседей и сообщают о срочном собрании жильцов по поводу оборудования бомбоубежища в доме.

Об этом пишет телеграм-канал «Лапша Медиа» совместно с авторским каналом Александра Ельшевского «Без обмана».

Звонящий представляется соседом, говорит о важном собрании жильцов и предлагает добавить человека в общий чат. Дальше начинается классика: вместо обсуждения реального вопроса мошенник быстро переходит к личным данным, просит назвать имя, телефон или другую информацию.

Также жертву убеждают, что без вступления в чат и попадания в списки на собрание якобы не получится.

Главный подвох в том, что жильцы дома не могут просто голосованием решить вопрос о создании бомбоубежища. Такие объекты создаются по государственным требованиям и нормам безопасности.

Поэтому срочное соседское собрание, на которое почему-то нельзя попасть без передачи данных незнакомцу по телефону, уже само по себе пахнет не инициативой жильцов, а разводом.

Если человек продолжит разговор, дальше может начаться второй этап схемы. Позже ему могут позвонить уже якобы сотрудники госорганов и заявить, что его данные попали к мошенникам. После этого жертву начнут подталкивать к переводам денег или другим действиям.

Распознать схему несложно: собеседник избегает личной встречи, настаивает на телефонном разговоре, быстро уводит тему к вашим данным и требует вступить в неизвестный чат. В таком случае лучший ответ — закончить разговор.

Личные данные незнакомцам по телефону сообщать не стоит. Если звонящий правда сосед, вопрос можно обсудить лично.

RSS: Новости на портале Anti-Malware.ru