Troyanos Móviles: una amenaza cada vez más sofisticada

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Gustuff es un troyano capaz de apuntar a más de 100 aplicaciones de banca global, criptomoneda y aplicaciones de mercado

Un grupo internacional que se especializa en la prevención de ataques cibernéticos ha detectado la actividad de Gustuff, un troyano móvil Android, que incluye objetivos potenciales de clientes en los principales bancos internacionales, usuarios de servicios de criptomoneda, sitios web de comercio electrónico populares y mercados.

Gustuff nunca ha sido reportado anteriormente. Gustuff es una nueva generación de malware completa con funciones totalmente automatizadas diseñadas para robar tanto la moneda fiat como la criptografía de las cuentas de usuario en masa.

El troyano utiliza el Servicio de Accesibilidad, destinado a ayudar a las personas con discapacidad.

El análisis de la muestra de Gustuff reveló que el troyano está equipado con falsificaciones web diseñadas para apuntar a usuarios potenciales de las aplicaciones de Android de los principales bancos internacionales, como el Bank of America, el Bank of Scotland, JPMorgan, Wells Fargo, Capital One, TD Bank, PNC Bank, y los servicios criptográficos como Bitcoin Wallet, BitPay, Cryptopay, Coinbase, etc.

Los especialistas descubrieron que Gustuff podría dirigirse a los usuarios de más de 100 aplicaciones bancarias, incluidas 27 en los EE. UU., 16 en Polonia, 10 en Australia, 9 en Alemania, y 8 en India y usuarios de 32 aplicaciones de criptomoneda.

Inicialmente diseñado como un troyano bancario clásico, en su versión actual, Gustuff ha ampliado significativamente la lista de objetivos potenciales, que ahora incluye banca por correo, servicios criptográficos y programas Android de las empresas de tecnología financiera, usuarios de aplicaciones de mercados, tiendas en línea, sistemas de pago. y mensajeros, como PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut, etc.

Arma de infección masiva

Gustuff infecta los teléfonos inteligentes Android a través de SMS con enlaces al archivo malicioso del Paquete Android (APK), el formato de archivo del paquete utilizado por el sistema operativo Android para la distribución e instalación de aplicaciones.

Cuando un dispositivo Android está infectado con un Gustuff, al comando del servidor, el troyano se propaga a través de la lista de contactos del dispositivo infectado o la base de datos del servidor.

Las características de Gustuff están dirigidas a infecciones masivas y el máximo beneficio para sus operadores: tiene una característica única: ATS (Automatic Transfer Systems), que rellena automáticamente los campos en aplicaciones de banca móvil legítimas, carteras de criptomonedas y otras aplicaciones, que aceleran y aumentan los robos.

El análisis del troyano reveló que la función ATS se implementa con la ayuda del Servicio de Accesibilidad, que está dirigido a personas con discapacidades.

Gustuff no es el primer troyano que pasa por alto con éxito las medidas de seguridad contra las interacciones con las ventanas de otras aplicaciones que utilizan el Servicio de Accesibilidad de Android.

Dicho esto, el uso del Servicio de Accesibilidad para realizar ATS ha sido hasta ahora relativamente raro.

Después de ser cargado en el teléfono de la víctima, Gustuff utiliza el Servicio de Accesibilidad para interactuar con elementos de las ventanas de otras aplicaciones, como carteras de criptomonedas, aplicaciones de banca en línea, mensajeros, etc. El troyano puede realizar varias acciones, por ejemplo, a las órdenes del servidor.

Gustuff puede cambiar los valores de los campos de texto en aplicaciones bancarias.

El uso del mecanismo del Servicio de accesibilidad significa que el troyano puede omitir las medidas de seguridad utilizadas por los bancos para protegerse contra la generación anterior de troyanos móviles y los cambios en la política de seguridad de Google introducidos en las nuevas versiones del sistema operativo Android.

Además, Gustuff sabe cómo desactivar Google Protect; Según el desarrollador del troyano, esta característica funciona en el 70% de los casos.

Gustuff también puede mostrar notificaciones falsas con iconos legítimos de las aplicaciones mencionadas anteriormente.

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS