بدافزار جدید اندرویدی به نام Gustuff

بدافزار جدید اندرویدی به نام Gustuff، که بیش از ۱۰۰ اپلیکیشن بانکی، ۳۲ اپلیکیشن Cryptocurrency و اپلیکیشن‌های پیام‌رسان مانند واتس‌اپ را هدف قرار داده است!

Gustuff یک بدافزار کاملاً خودکار است که از سرویس دسترس‌پذیری (Accessibility Services) گوشی‌های اندرویدی، برای سرقت اطلاعات حساب‌های بانکی در بیش از ۱۰۰ برنامه کاربردی، و ربودن اطلاعات کاربران در ۳۲ برنامه cryptocurrency سوءاستفاده می‌کند.

سرویس‌های دسترس‌پذیری در دستگاه‌های اندرویدی به منظور کمک به کاربرانی هستند که در استفاده از اپلیکیشن‌ها مشکل دارند.
اسکریپت بدافزار Gustuff حاوی صفحات جعلی است که کاربران اپلیکیشن‌های اندرویدی را هدف قرار می‌دهد.
به گزارش گروه Group-IB، "این بدافزار بیش از ۱۰۰ برنامه بانکی، شامل ۲۷ برنامه در ایالات متحده، ۱۶ برنامه در لهستان، ۹ برنامه در آلمان، ۱۰ برنامه در استرالیا، ۸ برنامه در هند و کاربران ۳۲ برنامه cryptocurrency را مورد هدف قرار داده‌اند."


گسترش قابلیت‌های مخرب بدافزار Gustuff
این بدافزار در ابتدا به عنوان یک تروجان بانکی کلاسیک طراحی شد، و بعداً قابلیت‌های آن برای هدف قرار دادن سرویس‌های رمزنگاری، فروشگاه‌های آنلاین، سیستم‌های پرداخت و پیام‌رسان‌ها گسترش داده شد.
Gustuff از طریق SMSهای حاوی لینکِ فایل‌های apk، زمانی که برای اولین بار به دستگاه ارسال می‌شود از طریق لیست مخاطبین دستگاه گسترش می‌یابد و پس از آلوده نمودن دستگاه قربانی، از سرویس‌های دسترس‌پذیری برای برقرار ارتباط با برنامه‌هایی مانند کیف‌های cryptocurrency، برنامه‌های بانکی آنلاین و پیام‌رسان‌ها سوءاستفاده می‌کند.
براساس تجزیه و تحلیل گروه Group-IB، "این بدافزار قادر به انجام اعمالی مانند تغییر مقدار فیلدهای متنی در اپلیکیشن‌های بانکی و ارسال پیام‌های جعلی مربوط به جزئیات پرداخت کارت می‌باشد، که این عمل را با کمک سرویس دسترس‌پذیری انجام داده و به صورت خودکار جزئیات فیلدها را پر می‌کند و معاملات غیرقانونی انجام می‌دهد."
همچنین محققان هشدار دادند که: "این بدافزار قادر به ارسال اطلاعات در رابطه با دستگاه آلوده به سرورهای C&C (سرورهای تحت کنترل هکرها)،خواندن و ارسال SMSهای دستگاه، ارسال درخواست‌های USSD، راه‌اندازی پراکسی SOCKS5، دنبال کردن لینک‌ها، انتقال فایل‌ها  (شامل اسناد، عکس‌ها و اسکرین‌شات‌ها) به سرورهای C&C تحت کنترل مهاجم و نیز بازگرداندن تنظیمات دستگاه به تنظیمات کارخانه می‌باشد."
این بدافزار توسط مجرمان سایبری روسی طراحی شده، و به صورت انحصاری خارج از روسیه کار می‌کند و مشتریان شرکت‌های بین‌المللی را هدف قرار می‌دهد.
تیم Group IB به کاربران توصیه می‌کند که حتماً اپلیکیشن‌های مورد نیاز خود را از منابع معتبر مانند Google play دانلود نموده و هنگام دانلود نیز به میزان گسترش و دانلود آن برنامه توجه داشته باشند. همچنین توصیه می‌گردد از کلیک نمودن بر روی لینک‌های موجود در SMSهای ارسالی از منابع ناشناس اکیداً اجتناب گردد.


منبع خبر:

https://gbhackers.com/gustuff-android-malware
https://thenextweb.com/hardfork/2019/03/28/android-malware-gustuff-cryptocurrency-banks
https://cointelegraph.com/news/android-malware-targets-users-of-32-crypto-apps-including-coinbase-bitpay