Gustuff, il malware colpisce conti bancari e crypto. Un malware Android che effettua automaticamente pagamenti dal dispositivo dell’utente, ruba le credenziali e mette le mani nei portafogli crypto. Non si tratta certo del primo malware realizzato con il preciso obiettivo di infilare le mani nelle tasche degli utenti, ma Gustuff alza decisamente l’asticella per quanto concerne le modalità attuate per compiere le frodi. Scoperto dai ricercatori di Group-IB, prende di mira i dispositivi Android ed è in grado di mettere in ginocchio i sistemi impiegati da oltre 100 istituti bancari di tutto il mondo oltre che i portafogli virtuali di criptovalute.
Gustuff, malware Android e conti bancari
Infetta il dispositivo bersaglio attraverso un semplice messaggio di testo, forzando il malcapitato a concedere l’accesso alla funzione Android Accessibility del sistema operativo impiegata per l’esecuzione automatica di alcune operazioni, pagamenti compresi. Superato questo primo step, fa leva sulla feature ATS (Automatic Transfer Systems) al fine di compilare in modo automatico i campi richiesti per l’invio di denaro all’interno delle applicazioni di home banking, effettuando la transizione pescando i fondi direttamente dal conto bancario, senza che la vittima se ne accorga. Simula inoltre la comparsa di notifiche push pressoché indistinguibili da quelle legittime.
Tra le banche colpite ci sono Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank e PNC Bank. 27 sono statunitensi, 16 polacche, 10 australiane, nove tedesche e otto indiane. Il report non fa esplicito riferimento a istituti italiani.
Colpisce anche i portafogli crypto
Prese di mira anche 32 app dedicate alla gestione di criptovalute come Bitcoin ed Ethereum: tra queste alcune delle più utilizzate come Bitcoin Wallet, BitPay, Cryptopay e Coinbase. Se ancora questo non fosse sufficiente, Gustuff si mette alla ricerca delle credenziali per l’accesso a servizi come PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi e Revolut, sbirciando tra quelle salvate all’interno del dispositivo e cercando di sottrarle attraverso tecniche di phishing, spingendo l’utente a digitarle.
I ricercatori affermano che il malware è in circolazione dall’aprile dello scorso anno, rimanendo finora attivo senza poter essere identificato dai sistemi di protezione destinati all’ecosistema Android. L’origine pare essere russa (stando al codice e all’interfaccia), ma il suo impiego è stato rilevato a livello internazionale. L’ultima versione viene commercializzata dagli autori al prezzo di 800 dollari, messa a disposizione dei cybercriminali per le loro operazioni.
Una volta violato lo smartphone della vittima, Gustuff cerca di infettare anche i suoi contatti inviando loro un messaggio con un collegamento per ottenere l’accesso alla già citata funzione Android Accessibility. Il consiglio rimane lo stesso di sempre: occhi ben aperti e diffidenza verso SMS o messaggi di chat contenenti link sospetti.
Fonte: Group-IB
Lascia un commento