По данным экспертов, Gustuff предназначен для мобильных приложений таких банков, как Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank. Под угрозой и мобильные криптокошельки Bitcoin Wallet, BitPay, Cryptopay, Coinbase. Пока известно, что под атаку могут попасть в общей сложности 100 банков из США, Германии, Австралии, Польши и Индии. Помимо этого, вирус представляет опасность для маркетплейсов, мессенджеров, платежных систем, онлайн-магазинов: PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut.
Gustuff и аналогичные вирусы-трояны предназначены в основном для использования на международных рынках, говорит руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов. Но, добавляет эксперт, подобные вирусы, как правило, «патчат» (адаптируют). После этого они могут применяться и в России. Эксперт отметил, что в России в последнее время число ежедневных хищений сократилось в три раза, снизилась и активность хакеров. Этому способствовали задержания владельцев крупнейших Android-ботсетей.
В частности, 14 марта сотрудники МВД совместно с экспертами Group-IB задержали в Новокузнецке администратора ботсетей с тысячами зараженных устройств как в России, так и за рубежом.
По описанию экспертов, троян Gustuff работает по следующей схеме. На смартфоны вирус попадет через SMS-рассылку, в которой содержится ссылка на Android Package Kit (APK) — формат архивных исполняемых файлов-приложений для Android. С зараженного устройства, по команде с сервера, троян распространяется через базу контактов. При этом вирус обладает функцией «автозалива» в легитимные мобильные банковские приложения и криптокошельки. Это увеличивает и масштаб краж, и их скорость. Автозалив же осуществляется с помощью сервиса для людей с ограниченными возможностями — Accessibility Service, что само по себе явление редкое.
Таким образом Gustuff начинает взаимодействовать банковскими, криптовалютными приложениями, с онлайн-магазинами и мессенджерами. По команде с сервера хакера он может нажимать на кнопки, изменять значения текстовых полей в банковских приложениях. Кроме того, вирус может отключать систему защиты Google Protect. Разработчик вируса хвастается, что эта функция «срабатывает в 70% случаев».
Также этот вирус-троян способен рассылать фейковые push-уведомления с иконками легитимных мобильных приложений. Если пользователь открывает уведомление, то открывается фишинговое (поддельное) окно, куда жертва сама вносит банковские данные. Gustuff может и сам открыть банковское приложение, от имении которого пришло push-уведомление. По команде хакера, он заполняет поля формы приложения для мошеннической транзакции.
Пока данных о жертвах и суммах хищений в открытых источниках нет. «Эту информацию можно будет получить или после обращения пострадавших, или по итогам расследования, которое могут провести международные правоохранительные органы», - пояснили в Group-IB.
Несмотря на то, что за последние пару лет, по данным Group-IB, хищения с помощью вирусов-троянов под Android в России уменьшились аж на 77%, эта мобильная операционная система все еще уязвимее, чем MacOS и iOS. Эксперты объясняют: дело не в том, что операционная система Apple сильнее защищена. Вирусы существуют и для них. В частности, они нацелены на устройства с джейлбрейком (jailbreak), где отключены встроенные средства защиты и используются права администратора. Но поскольку доля продуктов MacOS и iOS на мировом рынке ниже, чем у Windows и Android, то хакерам выгоднее разрабатывать вредоносное ПО массового поражения именно для последних.