Android-malware Gustuff stal cryptovaluta en bankdata uit ruim 125 apps

Stay tuned, abonneer!

Een nieuw ontdekte vorm van Android-malware heeft cryptovaluta en bankgegevens uit ruim 125 verschillende apps gestolen. De malware genaamd Gustuff werd ontdekt door beveiligingsonderzoekers van Group-IB. De trojan zou populairder worden onder cybercriminelen, omdat het specifiek gemaakt is voor bank- en crypto-middelen.

Gustuff zou ongeveer een jaar oud zijn, maar nu pas onder de aandacht zijn gekomen. De malware zit een tijd stilletjes – vaak zonder dat iemand dit door heeft –  op de achtergrond, voordat het heimelijk financiële data steelt. Gustuff richt zich op honderd bank-apps, waarvan er 27 in de VS zitten. Zestien apps komen uit Polen, tien uit Australië, negen uit Duitsland en acht uit India. Ook richt het zich op 32 apps voor cryptovaluta. Het gaat onder meer om Coinbase en Bitcoin Wallet.

Gustuff werd in eerste instantie ontworpen als een klassieke banking trojan, maar de huidige versie heeft de lijst met potentiële doelwitten flink uitgebreid, stellen de onderzoekers. Die lijst bevat nu ook gebruikers van apps van marktplaatsen, online winkels, betalingssystemen en boodschappers als PayPal, eBay, Skype en WhatsApp.

Werking

Gustuff wordt verder vooral verspreid via SMS-berichten met linkjes naar malafide Android package-bestanden. Android gebruikt APK-bestanden om applicaties te installeren. Als een gebruiker op een malafide link klikt en een geïnfecteerde applicatie installeert, verspreidt de malware zich snel binnen het apparaat van het slachtoffer. Daarbij zoekt het zowel naar de contactenlijst als geïnstalleerde applicaties.

De malware wil zoveel mogelijk apparaten infecteren en zoveel mogelijk geld ophalen voor zijn makers. Daar heeft het een unieke functie voor, genaamd “Automatic Transfer Systems”. Die functie kan legitieme bank- en cryptovaluta-apps automatisch invullen om geld te stelen. Ook heeft het de mogelijkheid om neppe push-berichten met legitieme iconen van de apps die het op het oog heeft tonen. Gebruikers die op die notificaties klikken, worden misleid om login-gegevens of creditcardgegevens te delen.

De beveiligingsonderzoekers raden bedrijven aan om signature-gebaseerde detectiemethodes te gebruiken, om klanten beter te beschermen tegen malware. Het is onduidelijk of grote antivirus- en malware-bedrijven Gustuff al detecteren.