Site icon ruCoins.info

Появился новый вирус на Android, который крадет криптовалюту

хакер

Компания по кибербезопасности Group-IB сообщила о появлении мобильного Android-трояна под названием Gustuff. Вирус нацелен на банки, пользователей мобильных криптокошельков, а также на интернет-магазины.

Троян затрагивает пользователей мобильных банков, таких как: Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank, а также криптокошельки Bitcoin Wallet, BitPay, Cryptopay, Coinbase и др. Специалисты Group-IB выяснили, что среди целей вируса пользователи 32 приложений для хранения криптовалют и клиенты более 100 банков. Кроме этого Gustuff нацелен на пользователей приложений маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров. В частности, PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut, и других.

Троян попадает на Android-смартфоны через СМС-рассылки со ссылками на APK (архивные исполняемые файлы-приложений). После этого он расползается по базе контактов инфицированного телефона, либо по базе данных сервера.

В вирусе присутствует уникальная функция «автозалива», которая помещает его в мобильные банковские приложения и криптокошельки. Исследование показало, что функция автозалива реализована в нем при помощи Accessibility Service — сервиса для людей с ограниченными возможностями. Gustuff — не первый троян, который успешно обходит защиту от взаимодействия с другими окнами с помощью данного сервиса Android. Однако использование Accessibility Service для реализации функции автозалива остается до сих пор достаточно редким явлением.

После заражения, Gustuff получает возможность взаимодействовать с элементами окон других приложений. К примеру, троян может нажимать на кнопки и изменять значения текстовых полей в банковских приложениях. Использование механизма Accessibility Service позволяет трояну обходить механизмы защиты, используемые банками для противодействия мобильным троянам прошлого поколения, а также изменения в политике безопасности, внедренные Google в новые версии ОС Android. Так, Gustuff «умеет» отключать защиту Google Protect и это срабатывает в 70% случаев.

Также Gustuff может демонстрировать фейковые PUSH-уведомления. Пользователь нажимает на PUSH-уведомление и видит загруженное с сервера фишинговое окно, куда сам вводит запрашиваемые данные банковской карты или криптокошелька. В другом сценарии работы Gustuff происходит открытие приложения, от имени которого демонстрировалось PUSH-уведомление. В этом случае вредоносная программа по команде сервера через Accessibility Service может заполнять поля формы банковского приложения для мошеннической транзакции.

Exit mobile version