Negli ultimi mesi abbiamo spesso parlato di malware progettati per aggredire i dispositivi Android e capaci di sottrarre dati personali e denaro appoggiandosi alle applicazioni di online banking installate sullo smartphone.
In queste ore gli esperti di Group-IB hanno scoperto Gustuff, un software malevolo che prende di mira le applicazioni di oltre 100 banche a livello mondiale, dei principali servizi per la gestione dei pagamenti digitali (come PayPal) e 32 app che consentono l’utilizzo delle crittovalute (BitPay, Cryptopay, Coinbase e molte altre).
Gustuff abusa degli strumenti per l’accessibilità integrati in Android per modificare i campi di testo presenti nelle varie app e indurre gli utenti a inserire dati personali e credenziali di accesso all’interno di schermate che non sono quelle ufficiali.
Una delle prime operazioni che Gustuff pone in essere una volta in esecuzione è disattivazione del servizio Google Play Protect: Google Play Protect evolve: abilitato di default su tutti i dispositivi Android.
I ricercatori di Group-IB spiegano che Gustuff integra alcune routine per favorirne la massima diffusione: la lista dei contatti viene bersagliata con l’invio di messaggi che invitano all’installazione di un pacchetto APK contenente il malware ma il server command and control allestito dagli aggressori è stato configurato in maniera tale da attivare molteplici modalità di distribuzione.
Gustuff può leggere e inviare SMS, trasmettere agli aggressori informazioni tecniche sul dispositivo in uso, attivare proxy SOCKS5, seguire link, trasferire file (compresi documenti, screenshot e foto), ripristinare le impostazioni di fabbrica del dispositivo.
Per approfondire, suggeriamo la lettura dell’articolo Antivirus Android: no, non è affatto inutile.