Новий троян Gustuff використовує вразливості криптовалют та банківських додатків


Published on 29 Mar. 2019
Monster 426995 1280

В даркнеті з’явився новий троян для Android, Gustuff, який націлений на понад 125 криптовалют та близько 500 банківських додатків.

Gustuff існує з квітня 2018 року і є, разом з Anubis, Red Alert і BankBot, однією з найбільш небезпечних загроз для фінансового простору. Компанія з кібербезпеки Group-IB припускає, що Gustuff може отримати доступ до реєстраційних даних та автоматизувати транзакції для різноманітних банківських і криптовалютних додатків, включаючи Capital One, Wells Fargo, PNC Bank, Coinbase і гаманці біткойна. Також відомо, що він націлений на облікові дані інших програм оплати та обміну повідомленнями, включаючи Western Union, PayPal, Walmart та Skype.

Gustuff функціонує переважно завдяки використанню служби Android Accessibility. Призначена для людей з обмеженими можливостями, служба може вибирати елементи екрану та автоматизувати взаємодію для користувачів, які самі цього не можуть зробити.

Рустам Міркасимов (Rustam Mirkasymov), керівник динамічного аналізу департаменту шкідливих програм Group-IB, каже, що така поведінка характернa для більшості троянів, але Gustuff має властивість, яка робить його більш небезпечною:

Трояни, які використовують сервіс доступності, не є рідкісним явищем. Унікальною особливістю Gustuff є те, що він виконує ATS за допомогою сервісу доступності. Той факт, що Gustuff використовує ATS, робить його ще більш просунутим, ніж Anubis, Red Alert.

ATS означає автоматичний трансфер-сервіс. Транзакції відбуваються через інфіковані комп'ютери при використанні ATS, тобто Gustuff не потребує пошуку облікових даних для входу, які він буде використовувати для крадіжки коштів. Замість цього він просто заражає комп'ютер або мобільний пристрій і заповнює облікові дані самостійно звідти, дозволяючи здійснити фінансові трансферти.

Ймовірно Gustuff може вимкнути функцію безпеки Google Play Protect і показувати індивідуальні push-сповіщення, які представляють собою певні програми, які можуть викрадати реєстраційну інформацію. Він може збирати дані з документів, відео та фотографій і, за повідомленнями, здатний скидати електронні пристрої до початкових заводських налаштувань, щоб приховати свою присутність.

Хороша новина полягає в тому, що Gustuff поки що не є надто поширеним і троян ніколи не завантажувався в магазин додатків Google Play Store. До теперішнього часу, зазначають Group-IB, троянська програма, в першу чергу, поширювалася через SMS-спам, в якому розміщуються посилання на файли інсталяції.

На жаль світ криптовалют, як і раніше, наповнений особами та продуктами, які мають шкідливі наміри. Потенційні хакерські атаки криптовалютних бірж, таких як CoinBene і DragonEx, свідчать про те, що безпека та конфіденційність у цифровому валютному світі не є достатніми, але аналітики кажуть, що методи захисту існують.

Group-IB прокоментувала, що якщо користувачі хочуть уникнути троянів, таких як Gustuff, вони повинні обмежитися завантаженнями додатків, доступних через Google Play, оскільки Gustuff не зміг обійти сканування безпеки Google. Користувачі ніколи не повинні завантажувати програми зі сторонніх магазинів і завжди повинні вмикати режими підпису для своїх пристроїв. Це гарантує, що, якщо реєстраційні дані будуть вкрадені, пристрої, з яких відбуваються крадіжки, з часом можуть бути відстежені.


More news

Творець EOS Ден Лаример: я міг би знищити біткойн та Етереум


Криптовалютний розробник Ден Ларімер (Dan Larimer) натякнув спільнотам біткойна та Етереуму на загрозу, стверджуючи, що він може знищити блокчейни обох криптовалют.

29 Mar. 2019

Кіберполіція спіймала майнера, який створив сайт з безкоштовними книгами, щоб майнити криптовалюти


Зловмисник встановив скрипт для майнінгу криптовалюти у HTML-код ряду інтернет-ресурсів, які сам адміністрував. Зазвичай це були сайти з безкоштовною літературою та науковими роботами.

28 Mar. 2019

Криптовалютна біржа DragonEx з Сингапуру зазнала хакерського зламу


Криптовалютна біржа DragonEx, що знаходиться в Сингапурі, заявила у вівторок, 26 березня, що її платформа була зламана, а певна кількість коштів користувачів була втрачена.

27 Mar. 2019