安全企业Group-IB于本周披露一款功能强大的Android金融木马程序Gustuff,它瞄准市场上超过100款金融程序与32款加密货币程序,除了可窃取用户的金融凭证之外,还能自动执行交易。
Gustuff主要的感染途径是借由短信发送恶意APK文件链接给Android用户,一旦Android用户下载并安装了Gustuff,它就能接收远程服务器的命令,发送恶意短信给设备上的联系人,进一步扩大感染范围。
Gustuff能够显示基于合法程序图标的假通知,当用户点击该通知时,可能会出现两种结果,一是跳出要求用户输入凭证的窗口,二是会打开合法程序,然后在付款字段自动填入支付信息以进行非法转帐。
第一种是金融木马最常见的手法,目的是为了窃取用户的金融凭证。第二种则依赖Gustuff的独特能力:自动转帐系统(Automatic Transfer Systems,ATS),ATS能够自动填入或篡改金融程序中的字段。
为了执行ATM,Gustuff利用了Android平台上的“辅助”(Accessibility Service)服务以绕过金融程序的安全机制,让Gustuff得以与这些金融程序交互,进而执行非法转帐。此外,Gustuff也能关闭Google Protect功能,且成功率高达7成。
Gustuff不只锁定众多的金融与加密货币程序,还能危及各种市场、线上商店、支付系统或通讯程序,涵盖PayPal、Western Union、eBay、Walmart、Skype与WhatsApp等。且除了窃取金融凭证或盗转之外,也可将受黑设备上的短信、屏幕截屏或照片发送到远程服务器,或是自远程将设备回复成出厂默认值。
Group-IB是在去年的4月于黑客论坛上发现了Gustuff,黑客并以每月800美元的价格兜售Gustuff僵尸网络。
有趣的是,Gustuff是由俄罗斯黑客所打造,但主要的感染范围或锁定的金融机构都是在俄罗斯以外,在Group-IB负责安全情报分析的Rustam Mirkasymov表示,这是因为俄罗斯政府最近大举扫荡境内的Android僵尸网络并逮捕相关黑客,才使得当地黑客将目标转移到国际市场。