×
gustuff.png
Een nieuwe Android-banking trojan begint aan populariteit te winnen op de cybercrimineel onderwereld. De naam Gustuff, het paard heeft al bijna een jaar, gedurende welke tijd het langzaam updates ontvangen over updates, steeds een krachtpatser in termen van functies en targeting mogelijkheden.
Deze Android-banking trojan is toegetreden tot de gelederen van soortgelijke top-tier bedreigingen, zoals Anubis, Red Alert, Exobot, LokiBot, en BankBot.
Volgens een analyse van Gustuff gedeeld met ZDNet door cyber-beveiligingsbedrijf Group-IB, Gustuff kan phish referenties en automatiseren bank transacties voor meer dan 100 banking apps en 32 cryptocurrency apps.
Targets zijn bekend banken zoals Bank of America, Bank of Scotland, J. P. Morgan, Wells Fargo Capital One, TD Bank, en PNC Bank, maar ook cryptocurrency apps zoals BitPay, Cryptopay, Coinbase, en Bitcoin Wallet.
Daarnaast is de trojan kan ook phish referenties voor diverse andere Android pyment en messaging apps, zoals PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut, en anderen.
Gustuff de unieke truc
Onder de kap, Gustuff werkt net als alle andere Android-banking trojans op de markt. Het maakt gebruik van social engineering om gebruikers te verleiden tot het geven van toegang tot de Android Toegankelijkheid service, een functie, bedoeld voor gebruikers met een handicap en een krachtig instrument dat kan automatiseren van verschillende UI-interacties en tik op het scherm items namens de gebruiker.
De meeste Android-banking malware maakt gebruik van deze service te geven zelf admin rechten en toon de valse inlogpagina ‘ s op de top van andere apps. Echter, Gustuff misbruik van deze dienst anders, en in een meer complexe en slinkse manier dan al zijn concurrenten.
“Trojaanse paarden die gebruik maken van [de] Toegankelijkheid Service is inderdaad niet een zeldzame verschijning,” Rustam Mirkasymov, Hoofd van de Dynamische Analyse van de Malware Afdeling Group-IB vertelde ZDNet gisteren. “Gustuff de unieke eigenschap is dat het in staat is van het uitvoeren van de ATS met de hulp van de Toegankelijkheid van de Dienst.”
Een ATS is een term die specifiek zijn voor het bank –en banking malware– sector. Het staat voor Automatic Transfer Service. Wanneer het gebruikt wordt in de context van malware, het verwijst naar een banking trojan de mogelijkheid om transacties te maken van een geïnfecteerde computer van de gebruiker, eerder dan het stelen van hun accountgegevens en vervolgens met behulp van deze referenties om geld te stelen via andere computers/smartphones.
Kortom, dankzij het Android Toegankelijkheid service, Gustuff heeft geïmplementeerd een ATS systeem direct op de telefoon van de gebruiker. Het kunnen openen van apps, vul referenties en gegevens van de transactie, en het goedkeuren van money transfers op haar eigen.
Banking trojans bedoeld om te infecteren computers met Windows om te doen dit al jaren, met de hulp van diensten zoals VNC, maar ATSes zijn nog steeds een zeldzame verschijning voor Android banking trojans.
“Het feit dat Gustuff gebruikt [een] ATS maakt het nog meer geavanceerd dan die van Anubis en RedAlert,” Mirkasymov vertelde ZDNet.
Niet in de Google Play Store nog
Maar terwijl de trojan is meer geavanceerd dan de meeste van zijn concurrenten, is het niet zo populair is. Gustuff werd nooit ingezet binnen apps geüpload op de officiële Google Play Store, zoals het nu lijkt niet in staat te zijn te omzeilen met Google security scans –in tegenstelling tot de meeste van zijn rivalen.
Momenteel is de enige manier dreigingen zijn gezien de distributie van de trojan is door middel van SMS spam die draagt links naar de trojan de APK-installatie-bestand, Group-IB zei.
De trojan is op de markt sinds April 2018, wanneer de auteur het eerst begon te adverteren op een bekend forum voor russisch-sprekende cybercriminelen.
Afbeelding: ZDNet
×
gustuff-ad.jpg
Andere functies Gustuff
Naast het bouwen van een Service voor Toegankelijkheid-aangedreven ATS, Gustuff heeft ook andere functies. Volgens de advertentie, Gustuff kunt ook uitschakelen Google Play Beschermen, een beveiligingsfunctie van de Google Play app-die volgens de auteur, werkt in 70 procent van de gevallen.
De trojan is ook in staat om te laten zien aangepaste push-notificaties die u kunt doen als een app, maar als je erop klikt, opent een web pagina met een phishing vorm te stelen van inloggegevens voor een bepaalde dienst, of het openen van de legitieme app, waar de trojan automatisch vult transactie vormen en maakt gebruik van de Toegankelijkheid van de dienst voor het automatisch goedkeuren van overdrachten van fondsen.
Laatste maar niet de minste, de trojan kan ook gegevens verzamelen van besmette apparaten, zoals documenten, foto ‘s en video’ s, indien nodig. De meest verraderlijke functie is Gustuff de mogelijkheid om opnieuw een apparaat naar de fabrieksinstellingen, in geval trojan operators bang zijn dat hun aanwezigheid op het apparaat ooit zou worden ontdekt.
Gerelateerde malware en cybercriminaliteit dekking:
Microsoft neemt de controle van 99 domeinen beheerd door de Iraanse staat hackersNorth-koreaanse hackers gaan aanvallen op cryptocurrency businessesLithuanian man pleit schuldig aan oplichting Google en Facebook van $123 millionHackers misbruik Magento PayPal integratie testen van de geldigheid van gestolen cardsLockerGoga bug crasht ransomware voor het versleutelen van filesTop donkere web marketplace wordt afgesloten volgende maand Hoe de Verenigde Naties helpt bij het bestrijden van de wereldwijde cybercriminaliteit TechRepublicGoogle geblokkeerd 2,3 miljard slecht advertenties in 2018 CNET
Verwante Onderwerpen:
Mobiliteit
Beveiliging TV
Data Management
CXO
Datacenters