针对Android手机的一种新型木马恶意软件正瞄准全球顶级加密应用程序(如Coinbase、BitPay和比特币钱包)的用户,以及摩根大通(JPMorgan)、富国银行(Wells Fargo)和美国银行(Bank of America)等银行的用户。3月28日,科技新闻网站Next Web报道了这一消息。
根据著名的网络犯罪分析公司Group-IB的研究,这是第一次报道或分析这种名为“Gustuff”的木马。该恶意软件被描述为针对大规模感染而设计,并通过带有加载恶意Android软件包工具包文件链接的短信传播。
据报道,恶意软件的制造者已经创建了“自动传输系统”,旨在通过触发合法Android应用程序的支付字段自动填充来加速和扩大盗窃行为,从而恶意地将传输路由给黑客。
这款应用的目的是发布一系列“网络赝品”,这些“网络赝品”模仿合法的应用程序,窃取用户的敏感数据,这些用户专门针对多达32种不同加密应用程序的客户。使用合法图标的推送通知是恶意软件用来自动下载假冒应用程序并触发交易自动填充的另一种设备。
据报道,IB集团发现了27个专门针对美国的假加密和银行应用程序,其中16个在波兰,10个在澳大利亚,9个在德国,9个在印度。该恶意软件还针对支付系统和信使服务,如PayPal,Revolut,西联汇款,eBay,沃尔玛,Skype和WhatsApp。
据报道,为了正常工作,Gustaff利用了Android为残疾用户设计的辅助功能服务机制,IB小组认为这是一个相对罕见和有效的技巧:“使用易访问性服务机制意味着木马可以绕过新版Android操作系统中引入的谷歌安全策略的更改。此外,Gustuff知道如何关闭Google Protect,根据Trojan的开发人员的说法,这个功能在70%的情况下有效。”
据报道,IB集团从2018年4月开始首次追踪黑客论坛,他指出Gustuff由一位绰号为“Bestoffer”的讲俄语的网络犯罪分子设计,但目标客户主要是俄罗斯境外的国际公司。
IB建议Android用户从谷歌Play store下载应用程序,并注意下载文件的扩展。
据今年2月的报道,在研究人员发现有恶意软件模仿谷歌Play窃取用户密码后,分散式应用程序MetaMask最近被撤下了谷歌Play。