Вредоносное ПО для Android может затронуть пользователей 32 криптоприложений

Вредоносное ПО для Android может затронуть пользователей 32 криптоприложений

Кот инвестор


Новая разновидность троянских программ для телефонов на базе Android ориентирована на глобальных пользователей самых популярных криптовалютных приложений, таких как Coinbase, BitPay и Bitcoin Wallet, а также на банковские приложения, включая JPMorgan, Wells Fargo и Bank of America. Об этом сообщило новостное агентство The Next Web.

Основываясь на исследованиях известной аналитической фирмы в области киберпреступлений Group-IB, сообщается, что это первый случай, когда был зарегистрирован или проанализирован троян, получивший название «Gustuff». Вредоносная программа описана как предназначенная для массового заражения и распространяется посредством SMS-сообщений со ссылками для загрузки вредоносных файлов.

По сообщениям, создатели вредоносного ПО создали «автоматические системы переводов», которые должны ускорить и масштабировать кражи, инициируя автоматическое заполнение полей оплаты для нормальных Android-приложений, чтобы таким образом перенаправить переводы хакерам.

Предполагается, что приложение выпускает множество «веб-фейков», которые имитируют нормальные приложения и таким образом крадутся конфиденциальные данные пользователей. Особое внимание уделено клиентам 32 различных криптовалютных приложений. Push-уведомления с использованием иконок приложений - это еще один способ, который использует вредоносная программа для автоматизации загрузки фейковых приложений и запуска автозаполнения полей для транзакций.

Как сообщается, Group IB определила 27 поддельных криптовалютных и банковских приложений, нацеленных для обмана пользователей из США, 16 для Польши, 10 для Австралии, 9 для Германии и 9 для Индии. Вредоносное ПО также ставит под прицел платежные системы и службы обмена сообщениями, такие как PayPal, Revolut, Western Union, eBay, Walmart, Skype и WhatsApp.

По сообщениям, для того, чтобы функционировать, Gustaff использует специальные возможности Android, разработанные для пользователей с ограниченными возможностями, и Group IB характеризует это как относительно редкий и эффективный прием:

«Использование механизма Accessibility Service означает, что троян может обойти изменения в политике безопасности Google, введенные в новых версиях ОС Android. Более того, Gustuff знает, как отключить Google Protect и эта функция работает в 70% случаев».

Group IB отмечает, что Gustuff был разработан русскоязычным киберпреступником по прозвищу «Bestoffer», но в то же время нацелен на клиентов международных фирм, в основном за пределами России.

Group IB рекомендует пользователям Android загружать приложения только из магазина Google Play и обращать внимание на расширения загружаемых файлов.