Android-virus: Trojaans paard “Gustuff” in cryptowallet en bankieren app
Het Trojaans paard “Gustuff” is aangetroffen in Android smartphones. Hiermee kan data uit de cryptowallet en bankieren app gestolen worden. Dat meldt cybersecurityfirma Group-IB in een persbericht. Het Trojaans paard is een risico voor internationale banken, gebruikers van een cryptowallet en populaire e-commerce websites.
Lees meer: Alert! Deze Apple malware steelt je bitcoin en altcoins
Trojaans paard “Gustuff”
Gustuff is een nieuwe generatie malware met volledige geautomatiseerde functies die is ontworpen om zowel fiat- als cryptomunten van gebruikersaccounts te stelen. Het Trojaanse paard maakt misbruik van de toegankelijkheidsservice, bedoeld om mensen met een handicap te helpen.
Het Trojaanse paard is uitgerust met nep-namaakproducten, die zijn ontworpen om gebruikers van banken te kunnen targeten, waaronder:
Android virus
Gustuff infecteert Android-smartphones via sms met links naar Android Package (APK) die door Android worden gebruikt. Wanneer een Android-apparaat is geïnfecteerd, verspreidt de Trojan zich via de contacten in het geïnfecteerde apparaat.
Opmerkelijk is het unieke ATS functie (Automatic Transfer Systems), dat velden automatisch aanvult in legitieme apps voor mobiel bankieren, cryptocurrency wallets en andere apps.
Uit de analyse blijkt dat de ATS-functie is geïmplementeerd met behulp van de toegankelijkheidsservice
(Android Accessibility Service).
Cryptowallet en bankieren app
Voorbeeld
Nadat de telefoon van het slachtoffer is geïnfecteerd, gebruikt Gustuff de toegankelijkheidsservice om te communiceren met elementen van van andere apps, waaronder crypto wallets en apps voor online bankieren.
Het Trojaanse paard kan een aantal acties uitvoeren op commando van een server. Gustuff kan ook de waarden van de tekstvelden in bank-apps wijzigen.
De malware kan ook SMS-berichten lezen / verzenden, USSD-verzoeken verzenden, SOCKS5 Proxy starten, links volgen, bestanden overbrengen (waaronder documentscans, screenshots, foto’s) naar de C & C-server, en het resetten van het apparaat naar de fabrieksinstellingen.
