Обнаружен новый вирус для Android, который ворует деньги пользователей

Москва, 17:00, 03 Апр 2019, редакция FTimes.ru, автор Татьяна Орлонская.

Пользователям устройств под управлением Android угрожает новый троян под названием Gustuff. О существовании вредоносной программы сообщили эксперты компании Group-IB. Его основное предназначение – воровство денежных средств пользователей.

Киберпреступники начали активно использовать новый вирус-троян Gustuff для операционной системы Android. Программа угрожает клиентам крупнейших банков мира и пользователям мобильных криптокошельков. Опасный вирус ворует денежные средства пользователей. По данным компании Group-IB, соответствующая программа была разработана русскоязычным хакером под ником Bestoffer, передает «Профиль».

Как работает новый вирус?

Троян выдает себя за легитимные приложения, в том числе банковские клиенты, мессенджеры и криптовалютные кошельки, и таким образом провоцирует жертву добровольно предоставить ему учетные данные от своих банковских счетов.

По словам экспертов, у Gustuff есть множество вариантов, которые помогают ему обманывать пользователей и проникать на их устройства. Вирус мимикрирует под такие приложения, как PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett и ряд других сервисов и служб, популярных в разных частях света. Благодаря этому опасная программа получает выход на широкую аудиторию, которая не ограничивается жителями только одной страны, распространяя свое влияние на все заселенные континенты.

Вредоносный Gustuff распространяется посредством SMS. Пользователю поступает сообщение со ссылкой, якобы ведущей на загрузку обновления для приложения, получение денежного перевода или сообщение от площадки объявлений. Переход по этой ссылке провоцирует загрузку вредоносного компонента, который будет выдавать себя за одну из перечисленных в предыдущем абзаце служб или приложений, занимаясь рассылкой поддельных пуш-уведомлений.

Каждое из таких уведомлений выводит на экран устройства фишинговое окно авторизации в банковских аккаунтах или криптовалютных кошельках в зависимости от того, чем пользуется жертва. Злоумышленники рассчитывают, что владельцы зараженных гаджетов самостоятельно раскроют учетные данные, которые благополучно будут переданы на удаленный сервер. В общей сложности троян атакует клиентов более 100 популярных в разных странах банков и как минимум 30 кошельков для хранения криптовалют.

Как защититься от вируса?

Троян отметился одной из уникальных функций — в Group-IB ее назвали «автозаливом» в легитимные мобильные банковские приложения и криптокошельки. Реализация такой возможности позволяет вирусу ускорить и масштабировать кражу денег.

Для «автозалива» вредоносная программа использует сервис операционной системы Android, известный как Accessibility Service (его и ранее использовали различные вредоносы). В частности, этот сервис для людей с ограниченными возможностями используется для симуляции действий пользователя. Другими словами, вредоносная программа может самостоятельно нажимать на любые кнопки, а также менять значения текстовых полей в банковских приложениях — все зависит от того, что ему прикажет оператор.

У Gustuff были обнаружены возможности отображения фейковых PUSH-уведомлений с иконками легитимных мобильных приложений. При нажатии на такие окна пользователь попадает на фишинговые страницы, которые имитируют легитимные ресурсы кредитных организаций.

«В целях защиты своих клиентов от угрозы мобильных троянов компании должны использовать комплексные решения, которые позволяют без установки дополнительного программного обеспечения на устройства пользователей отслеживать и предупреждать вредоносную активность», — объясняет Павел Крылов, руководитель направления Group-IB Secure Bank.

«Для этого сигнатурные методы обнаружения мобильных троянов необходимо усиливать технологиями анализа поведения как клиента, так и самого приложения. Также защита должна включать в себя функцию идентификации устройств с использованием технологии цифрового отпечатка, что позволит понять, когда учётная запись используется с нетипичного устройства и уже попала в руки мошенника».

«Принципиально важный момент – наличие возможности кросс-канального анализа, что дает возможность компаниям контролировать риски, возникающие на стороне не только интернет-, но и мобильного канала, например, в приложениях для мобильного банкинга, для операций с криптовалютами и любых других, где может осуществляться финансовая транзакция».