Банкер Gustuff, нацеленный на Android-устройства, получил обновление и собирает не только учетные данные финансовых аккаунтов, но и сведения из приложений по поиску работы. К такому выводу пришли специалисты компании Cisco, отслеживающие активность зловреда с марта этого года. Эксперты выяснили, что автор трояна отказался от прежнего способа связи резидентов с командным сервером и изменил код программы, чтобы она оставляла меньше характерных следов на взломанном смартфоне.

Ранние кампании Gustuff

Впервые Gustuff появился в поле зрения исследователей весной 2019 года. Вредоносная программа распространялась при помощи СМС, содержащих ссылку на принадлежащий киберпреступникам сайт.

Сообщения по команде отправлялись с зараженных устройств всем абонентам в адресной книге жертвы. Злоумышленники рассчитывали, что пользователь с большей вероятностью перейдет на криминальный ресурс, если получит послание от знакомых.

Оказавшись на целевом устройстве, троян перехватывал управление SMS-сообщениями, а также пытался украсть учетные данные жертвы при работе с банковскими приложениями и финансовыми ресурсами Австралии. Для этого зловред динамически генерировал фальшивое окно авторизации или ввода данных банковской карты, когда фиксировал соответствующую активность пользователя. Список программ и сайтов, на которые реагировал Gustuff, был жестко зашит в его коде, что позволяло легко отслеживать его работу.

Обновленный Gustuff снова атакует

Новый этап кампании начался в октябре этого года. По свидетельству аналитиков, автор трояна внес существенные изменения в его код, чтобы привлекать меньше внимания антивирусных приложений. Киберпреступник выключил центр управления, указанный в исходном коде программы и обнаруженный исследователями. Теперь идентификатор командного сервера назначается при активации Gustuff, а взаимодействие ведется через собственный API зловреда.

После установки трояна операторы получают список установленных на устройстве программ и пытаются деактивировать обнаруженные сканеры безопасности. Вредоносное приложение также обзавелось собственным JavaScript-движком, который позволяет запускать на смартфоне сценарии, полученные из командного центра. Киберпреступники могут подгружать инструменты для создания необходимых диалоговых окон динамически, в зависимости от установленных банковских приложений.

Как выяснили ИБ-специалисты, ранние варианты Gustuff были основаны на коде банкера ExoBot — одного из наиболее технически сложных зловредов для Android. В конце 2017 года автор программы продал ее исходники на одном из даркнет-форумов, что могло стать отправной точкой для создания новых троянов.

Категории: Аналитика, Вредоносные программы