新型Android木马Gustuff已影响上百家银行应用程序

Change 移动安全 2019年3月30日发布
Favorite收藏

导语:近日,Group-IB的安全专家检测到了一种名为Gustuff的移动Android木马的攻击活动,其目标涵盖了国际知名银行的潜在客户、使用加密货币服务的用户,以及一些热门的电子商务网站。

近日,Group-IB的安全专家检测到了一种名为Gustuff的移动Android木马的攻击活动,其目标涵盖了国际知名银行的潜在客户、使用加密货币服务的用户,以及一些热门的电子商务网站。

Gustuff是一种新型的Android银行木马,之前从未被报道过。它具有完全自动化的功能,能同时从用户帐户中窃取虚拟货币和非虚拟货币。

对Gustuff样本的分析显示,此次攻击行动涉及到了5个主要国家在内的上百家银行,其中美国和波兰被波及的数目最多,分别为27家和16家,其余的三个国家为:澳大利亚(10),德国(9),印度(8);而受影响的银行包括:美国银行,苏格兰银行,摩根大通,富国银行,Capital One,TD银行,PNC银行等一些顶级国际银行。此外,此次攻击行动同时针对装有Bitcoin Wallet,BitPay,Cryptopay,Coinbase等加密货币服务软件的用户。

Gustuff最初的设计是一个较为经典的银行木马,而在当前版本中却明显扩展了它的攻击目标,除了银行,加密货币公司等一些金融科技公司之外,还开始把黑手伸向了电商App,在线支付系统以及通讯软件,比如PayPal,西联汇款,eBay,沃尔玛,Skype,WhatsApp,Gett Taxi,Revolut等。

大规模感染的武器——ATS

Gustuff通过发送带有恶意Android包(APK)文件链接的短信感染Android智能手机。恶意Android包文件是Android操作系统用于分发和安装应用程序的包文件格式。当Android设备感染了Gustuff时,在服务器的命令下,木马会通过受感染设备的联系人列表或服务器数据库进一步传播。Gustuff旨在用大规模感染的方式为其幕后的攻击者带来最大化利润。它有一个独特的功能——ATS(自动转账系统),能自动填充合法银行移动应用、加密货币钱包或是其它一些应用程序的字段。通过这种方式,既能扩大盗窃规模,又能提高盗窃速度。

对Gustuff的分析表明,ATS的功能是利用无障碍服务(Accessibility Service)中的漏洞实现的。无障碍服务是给有残疾的用户或暂时无法与设备完全交互的用户专门设计的交互功能。Gustuff并不是第一个使用Android无障碍服务成功绕过安全措施的木马。但到目前为止,使用无障碍服务执行ATS的情况还是相对较少的。

在上传至受害者手机后,Gustuff通过无障碍服务与其他窗口元素进行交互,并能执行许多操作,比如在服务器的命令下,Gustuff能改变银行应用程序中文本字段的值。通过滥用无障碍服务机制,Gustuff可以轻易绕过银行使用的安全措施,这些措施引入了谷歌安全策略,能够防止老一代的移动木马,但Gustuff却有能够关闭谷歌保护的手段,据Gustuff的开发者称,在七成的情况下Gustuff能成功突破谷歌的防御机制。

Gustuff还能够使用上述应用程序的合法图标显示假推送通知。点击假推送通知有两种可能结果:一是弹出从服务器下载的钓鱼页面,要求用户输入个人或支付(卡/钱包)信息;二是打开应用程序,在服务器的命令下利用无障碍服务,Gustuff可以自动填充非法交易的支付字段。

Gustuff还可以向C&C服务器发送受感染设备的信息,读取/发送SMS短信,发送USSD请求,启动SOCKS5代理,跟踪链接,向C&C服务器传输文件(包括文档扫描、截图、照片),并将设备重置为出厂设置。

Group-IB安全银行主管帕维尔•克里洛夫(Pavel Krylov)表示:

为了更好地保护客户免受移动木马的攻击,这些公司需要使用更为复杂的解决方案,在不向终端用户额外安装软件的情况下就能检测和防止恶意活动……基于签名的检测方法应该与用户和应用程序行为分析相辅相成。有效的网络防御还应包括客户设备的识别系统(设备指纹识别),以便能够检测来自未知设备的被盗账户凭证的使用情况。另一个重要的因素是跨通道分析,它有助于检测其他通道中的恶意活动。

目标——俄罗斯之外

Gustuff由一位俄语攻击者开发,只在国际市场上运营。

Group-IB恶意软件动态分析部门主管斯鲁斯塔姆•米尔卡西莫夫(srustam Mirkasymov)表示:

包括Gustuff在内的所有在地下论坛上提供的新Android木马,主要用于俄罗斯境外,以及国际公司的目标客户。之前在俄罗斯,最大的安卓僵尸网络的所有者被捕后,每天的盗窃案数量减少了三倍,木马的活动变得明显不那么普遍,它们的开发者把注意力放在了其他市场。然而,一些黑客会修改木马样本,并在俄罗斯用户的攻击中重用它。

Group-IB的威胁情报系统于2018年4月首次在黑客论坛上发现了Gustuff。其开发者(绰号Bestoffer)将 Gustuff进化成了AndyBot恶意软件的最新升级版本。自2017年11月以来,AndyBot恶意软件一直在攻击安卓手机,并使用伪装成知名国际银行和支付系统的移动应用程序的钓鱼页面盗取资金。正如木马开发者所宣传的那样,Gustuff是一款更为正式的产品。“Gustuff Bot”的租金为每月800美元。一旦发现Gustuff, Group-IB威胁情报客户就会得到通知。Group-IB的分析师也将继续研究这款木马。

本文翻译自:https://securityaffairs.co/wordpress/83005/malware/android-trojan-gustuff.html​如若转载,请注明原文地址: https://www.4hou.com/mobile/17082.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论