本周一款功能强大的Android金融木马Gustuff,瞄准了市场上超过100款金融程序与32款加密货币程序,除了可窃取使用者的金融账密之外,还能自动执行交易。
Gustuff主要的感染途径是通过短信向Android用户发送恶意APK文件链接的,一旦Android用户下载并安装了Gustuff,它就能接收远程服务器的命令,并向手机通信录上的联系人发送恶意短信,进一步扩大感染范围。
Gustuff能够显示基于合法程序图示的假通知,当使用者点选该通知时,可能会出现两种结果,一是跳出要求使用者输入登录名与密码的弹窗,二是会开启合法程序,然后在付款栏内自动填入支付信息以进行非法转帐。
第一种是金融木马最常见的手法,目的是为了窃取使用者的金融账密。而第二种则有赖于Gustuff的独特能力:自动转帐系统(Automatic Transfer Systems,ATS),ATS能够自动填入或篡改金融程序中的付款栏。
为了执行ATS,Gustuff利用了Android平台上的“辅助”(Accessibility Service)服务以绕过金融程序的安全机制,让Gustuff得以与这些金融程序互动,进而执行非法转帐。此外,Gustuff也能关闭Google Protect功能,且成功率高达70%。
Gustuff不只锁定了众多的金融与加密货币程序,还能危及各种应用商店、线上购物、支付系统或短信程序,涵盖PayPal、Western Union、eBay、Walmart、Skype与WhatsApp等。而且除了窃取金融账密或盗刷之外,其还能将被黑设备上的短信、屏幕截图或照片传送到远程服务器,或是远程将设备恢复为出厂设置。
【近来俄罗斯政府大举扫荡境内的Android僵尸网络并逮捕相关骇客,使得当地骇客将目标转移到国际市场。而安全厂商最早于去年4月就在骇客论坛上发现过Gustuff,当时有人以每月800美元的价格兜售Gustuff僵尸网络。】
- 调查区域:企业小调查(点击预览可查看效果)
本文属于原创文章,如若转载,请注明来源:Android木马Gustuff锁定金融与加密货币程序//safe.zol.com.cn/713/7130760.html
