Un troyano bancario avanzado recientemente descubierto llamado Gustuff permite robar fondos de cuentas en más de 100 bancos en todo el mundo y robar a los usuarios de 32 aplicaciones de Android de criptomonedas.
La amenaza se vende por una suscripción mensual de $800 y se detectó por primera vez en abril de 2018. Su desarrollador promociona su producto como una variante mejorada del malware bancario AndyBot cuya actividad se ha rastreado desde 2017.
El malware incluye código para dirigirse a los principales bancos internacionales como Bank of America, Bank of Scotland, JPMorgan, Wells Fargo, Capital One, TD Bank y PNC Bank. También busca aplicaciones de billetera de criptomonedas como Bitcoin Wallet, o de los servicios BitPay, Cryptopay, Coinbase y más.
Gustuff usa una táctica relativamente poco común para acceder y cambiar automáticamente los campos de texto en aplicaciones específicas. En dispositivos comprometidos, hace uso de los servicios de accesibilidad de Android para interactuar con pantallas de otras aplicaciones. No es la primera amenaza para abusar de esta función, destinada a ayudar a las personas con discapacidades a usar dispositivos y aplicaciones Android. En este caso, el propósito es diferente: evitar las protecciones contra generaciones anteriores de troyanos bancarios, así como la política de seguridad de Google presente en versiones posteriores de Android.
Dentro de la investigación se menciona que una de las funciones del malware es desactivar Google Play Protect, la protección antimalware incorporada de fábrica en Android. Desarrollado por algoritmos de machine learning, la defensa predeterminada de Google escanea automáticamente el dispositivo para garantizar que se beneficia de las últimas medidas de seguridad. A pesar de esto, el desarrollador de Gustuff dice que su código puede derribar con éxito la defensa de Google en el 70% de los casos.
Gustuff se propaga a otros dispositivos móviles leyendo la lista de contactos del teléfono comprometido y enviando mensajes con un link a su archivo de instalación (APK). La lista de funciones incluye: enviar información sobre el dispositivo infectado al servidor de C2 (comando y control), leer/enviar mensajes SMS, enviar solicitudes USSD, lanzar un Proxy SOCKS5, seguir links, transferir archivos (incluidos escaneados de documentos, capturas de pantalla, fotos) hacia el servidor de C2 y restableciendo la configuración de fábrica del dispositivo. Otra funcionalidad es mostrar a la víctima notificaciones falsas con iconos de aplicaciones legítimas. Un propósito es robar las credenciales de la cuenta mostrando una página de inicio de sesión falsa descargada del servidor del atacante. Otro objetivo es forzar a la víctima a iniciar sesión en la cuenta real para que el malware pueda ejecutar su rutina de autocompletar en los campos de pago e iniciar transacciones no autorizadas.
Gustuff es el trabajo de un ciberdelincuente de habla rusa, pero sus operaciones son principalmente fuera del país, algo que ha ocurrido de forma recurrente en los nuevos troyanos Android que se venden en foros clandestinos.
REFERENCIA
COMENTARIOS