Зафиксирована активность мобильного Android-трояна Gustuff, нацеленного на клиентов банков, пользователей криптовалютных кошельков и крупных e-commerce ресурсов. Об этом говорится в пресс-релизе международной компании Group-IB.

Троян потенциально угрожает клиентам, использующим мобильные приложения более 100 международных банков, таких как Bank of America, Bank of Scotland, JP Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank, а также пользователям 32 криптокошельков: Bitcoin Wallet, BitPay, Cryptopay, Coinbase и других.

Кроме Android-приложений банков, финтех-компаний и криптосервисов Gustuff нацелен на пользователей приложений маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров. В частности, PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut и других.

Он проникает на смартфоны через СМС-рассылки со ссылками и распространяется по базе контактов инфицированного телефона либо по базе данных сервера. В нем присутствует функция «автозалива» для кражи денег, которая реализована при помощи Accessibility Service — сервиса для людей с ограниченными возможностями.

По команде мошенников троян может нажимать на кнопки и изменять значения текстовых полей в банковских приложениях, обходить механизмы защиты, изменения в политике безопасности, демонстрировать фейковые PUSH-уведомления с иконками легитимных мобильных приложений.

Автором мобильного трояна является русскоязычный киберпреступник, при этом Gustuff действует исключительно на международных рынках. Однако некоторые злоумышленники модифицируют приложения и продают трояны для последующих атак на пользователей в России.