بدافزار جدید اندرویدی به نام Gustuff، که بیش از ۱۰۰ اپلیکیشن بانکی، ۳۲ اپلیکیشن Cryptocurrency و اپلیکیشنهای پیامرسان مانند واتساپ را هدف قرار داده است!
Gustuff یک بدافزار کاملاً خودکار است که از سرویس دسترسپذیری (Accessibility Services) گوشیهای اندرویدی، برای سرقت اطلاعات حسابهای بانکی در بیش از ۱۰۰ برنامه کاربردی، و ربودن اطلاعات کاربران در ۳۲ برنامه cryptocurrency سوءاستفاده میکند.
سرویسهای دسترسپذیری در دستگاههای اندرویدی به منظور کمک به کاربرانی هستند که در استفاده از اپلیکیشنها مشکل دارند.
اسکریپت بدافزار Gustuff حاوی صفحات جعلی است که کاربران اپلیکیشنهای اندرویدی را هدف قرار میدهد.
به گزارش گروه Group-IB، “این بدافزار بیش از ۱۰۰ برنامه بانکی، شامل ۲۷ برنامه در ایالات متحده، ۱۶ برنامه در لهستان، ۹ برنامه در آلمان، ۱۰ برنامه در استرالیا، ۸ برنامه در هند و کاربران ۳۲ برنامه cryptocurrency را مورد هدف قرار دادهاند.”
گسترش قابلیتهای مخرب بدافزار Gustuff
این بدافزار در ابتدا به عنوان یک تروجان بانکی کلاسیک طراحی شد، و بعداً قابلیتهای آن برای هدف قرار دادن سرویسهای رمزنگاری، فروشگاههای آنلاین، سیستمهای پرداخت و پیامرسانها گسترش داده شد.
Gustuff از طریق SMSهای حاوی لینکِ فایلهای apk، زمانی که برای اولین بار به دستگاه ارسال میشود از طریق لیست مخاطبین دستگاه گسترش مییابد و پس از آلوده نمودن دستگاه قربانی، از سرویسهای دسترسپذیری برای برقرار ارتباط با برنامههایی مانند کیفهای cryptocurrency، برنامههای بانکی آنلاین و پیامرسانها سوءاستفاده میکند.
براساس تجزیه و تحلیل گروه Group-IB، “این بدافزار قادر به انجام اعمالی مانند تغییر مقدار فیلدهای متنی در اپلیکیشنهای بانکی و ارسال پیامهای جعلی مربوط به جزئیات پرداخت کارت میباشد، که این عمل را با کمک سرویس دسترسپذیری انجام داده و به صورت خودکار جزئیات فیلدها را پر میکند و معاملات غیرقانونی انجام میدهد.”
همچنین محققان هشدار دادند که: “این بدافزار قادر به ارسال اطلاعات در رابطه با دستگاه آلوده به سرورهای C&C (سرورهای تحت کنترل هکرها)،خواندن و ارسال SMSهای دستگاه، ارسال درخواستهای USSD، راهاندازی پراکسی SOCKS5، دنبال کردن لینکها، انتقال فایلها (شامل اسناد، عکسها و اسکرینشاتها) به سرورهای C&C تحت کنترل مهاجم و نیز بازگرداندن تنظیمات دستگاه به تنظیمات کارخانه میباشد.”
این بدافزار توسط مجرمان سایبری روسی طراحی شده، و به صورت انحصاری خارج از روسیه کار میکند و مشتریان شرکتهای بینالمللی را هدف قرار میدهد.
تیم Group IB به کاربران توصیه میکند که حتماً اپلیکیشنهای مورد نیاز خود را از منابع معتبر مانند Google play دانلود نموده و هنگام دانلود نیز به میزان گسترش و دانلود آن برنامه توجه داشته باشند. همچنین توصیه میگردد از کلیک نمودن بر روی لینکهای موجود در SMSهای ارسالی از منابع ناشناس اکیداً اجتناب گردد.
