Group-IB нашла созданный русским хакером троян с уникальной функцией

Android-троян Gustuff использовал для распространения и обхода защиты сервис Accessibility Service для людей с ограниченными возможностями. Целью вируса были в том числе приложения Skype, WhatsApp, Gett Taxi и PayPal.

Русскоязычный преступник создал вирус, нацеленный на мобильные приложения крупнейших международных банков. Речь идет о мобильном Android-трояне Gustuff, говорится в сообщении компании Group-IB, поступившем в РБК.

Специалисты Group-IB впервые обнаружили Gustuff на хакерских форумах в апреле 2018 года, где разработчик трояна, предлагая его в аренду за $800 в месяц, утверждал, что это улучшенная версия вредоносной программы AndyBot. Эта программа с ноября 2017 года атакует телефоны с ОС Android, используя для кражи денег фишинговые веб-формы и маскируясь под мобильные приложения банков и платежных систем.

Целью Gustuff были клиенты международных банков, пользователи мобильных криптокошельков и ресурсов электронной коммерции. Задачей программы был вывод фиатных (традиционных) денег и криптовалюты со счетов пользователей, для этого троян использовал сервис для людей с ограниченными возможностями — Accessibility Service.

«Потенциально троян нацелен на клиентов, использующих мобильные приложения крупнейших банков, таких как Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank, а также на криптокошельки Bitcoin Wallet, BitPay, Cryptopay, Coinbase и др.», — пояснили специалисты Group-IB. Они отметили, что также Gustuff был нацелен на приложения маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров, в том числе PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi и Revolut. Сотрудники компании установили, что речь идет о пользователях 32 приложений для хранения криптовалют и клиентов более 100 банков, в том числе в США, Польше, Австралии, Германии и Индии.

Эксперты пояснили, что вирус проникал на Android-смартфоны через рассылки СМС, в которых были ссылки на архивы с расширением APK (Android Package Kit). Далее троян распространялся по базе контактов инфицированного устройства или по базе данных сервера.

При этом у Gustuff была уникальная функция «автозалива» в мобильные банковские приложения и криптокошельки, что позволяло вирусу ускорить и увеличить кражу денег, подчеркивают в Group-IB. Там пояснили, что функция была реализована с помощью Accessibility Service, а это довольно редкое решение для вирусов. Используя этот сервис, Gustuff мог взаимодействовать с другими приложениями на телефоне пользователя и по команде сервера нажимать на кнопки и изменять значения текстовых полей в этих приложениях. Особенности Accessibility Service давали вирусу возможность обходить защиту, которую используют банки для противостояния троянам, а также игнорировать изменения в политике безопасности новых версий ОС Android.

Group-IB установила, что Gustuff был нацелен только на международные рынки, хотя его создателем был русскоязычный киберпреступник.

Для защиты клиентов «компании должны использовать комплексные решения, которые позволяют без установки дополнительного программного обеспечения на устройства пользователей отслеживать и предупреждать вредоносную активность», считает руководитель направления Group-IB Secure Bank Павел Крылов. По словам эксперта, нужно внедрять технологии анализа поведения клиента и приложений, а также функции идентификации устройств с использованием технологии цифрового отпечатка.

Маргарита Девяткина

Тематики: Безопасность

Ключевые слова: информационная безопасность, Group-IB