Создатель трояна запрограммировал его так, чтобы тот автоматически заменял все платёжные данные в реальных приложениях. Таким образом, денежные средства по невнимательности пользователей отправляются на кошельки злоумышленника. Кроме того, вирус умеет имитировать настоящие приложения и тем самым воровать чувствительные данные пользователей. Чтобы никто не заподозрил подвох, он выдаёт push-уведомления на экране с оригинальным логотипом других программ. Поэтому никто из владельцев смартфонов не догадывается, что на самом деле запускает подделку.
Group IB отследили 27 фейковых крипто- и банковских приложений. Основной массой пользуются в США, 16 приложениями в Польше, 10 в Австралии, а также 9 — в Германии и Индии. Вредоносное ПО поражает продукты платёжных систем и популярных мессенджеров, включая PayPal, Revolut, Western Union, eBay, Walmart, Skype и WhatsApp.
Для работы Gustaff задействует встроенную функциональность Андроида, предназначенную для людей с ограниченными возможностями. Как отмечают в Group IB, это достаточно хитрый ход, который не встречался раньше.
Как минимум это позволит трояну обходить изменения в политике безопасности Google, которые вносятся в новые версии ОС Android. Более того, Gustuff умеет отключать Google Protect. И судя по заявлению создателя трояна, это срабатывает в 70 процентах случаев.
По данным источников, вирус был разработан российским киберпреступником под ником Bestoffer, однако при этом нацелен на клиентов международных компаний в других странах. Больше данных ищите в крипточате.
Подписывайтесь на наш канал в Телеграме. И внимательно смотрите, что скачиваете!
