Компания Group-IB, которая занимается расследованием и предотвращением киберпреступлений, зафиксировала всплеск активности Android-трояна Gustuff (тип вредоносных программ, маскирующихся под легитимное программное обеспечение), целью которого является вывод фиатных средств среди пользователей приложений крупнейших банков, криптокошельков и онлайн-ретейлеров по всему миру.
Об этом говорится в сообщении компании.
Российские банки и e-commerce площадки затронуты не были. В то же время специалисты Group-IB предполагают, что автором Android-трояна является русскоязычный хакер.
В пресс-службе Group-IB пояснили, что ущерб и количество жертв могут быть установлены по итогам расследования преступной деятельности, которое может быть инициировано пострадавшими.
Основными целями атаки стали мобильные приложения Bank of America, Bank of Scotland, J.P.Morgan, PayPal, eBay, Skype, WhatsApp, Gett Taxi и другие.
«На данный момент, специалистам Group-IB известно, что среди целей Gustuff’а пользователи 32 приложений для хранения криптовалют и клиенты более 100 банков, среди которых 27 — в США, 16 — в Польше, 10 — в Австралии, 9 — в Германии и 8 — Индии», — отмечают в компании.
Мобильный троян проникает на устройства пользователей через sms-рассылку с вредоносными ссылками под видом архивных файлов Android. После заражения Gustuff распространяется по базе контактов или данных сервера устройства, а также через автоматическое внедрение мобильных банковских приложений с помощью функций сервиса для людей с ограниченными возможностями, указывают в Group-IB.
«Использование механизма Accessibility Service позволяет трояну обходить механизмы защиты, используемые банками для противодействия мобильным троянам прошлого поколения, а также изменения в политике безопасности, внедренные Google в новые версии ОС Android«, — поясняют специалисты.
В целях защиты от подобных атак эксперты компании рекомендуют организациям использовать комплексные решения, которые позволяют без установки дополнительного программного обеспечения на устройства пользователей, отслеживать и предупреждать вредоносную активность. Кроме того, организациям необходимо внедрять в приложения функцию идентификации устройств с использованием технологии цифрового отпечатка, что позволит понять, когда учетная запись используется с нетипичного устройства или попала в руки мошенника. источник
[irp]