Android Trojaner „Gustuff“ nimmt 32 Krypto-Apps ins Visier (Coinbase, BitPay etc)

Eine brandneue Generation von Malware wurde entdeckt, die speziell darauf abzielt Android-User zu bestehlen. Mehrere Krypto- sowie Bank-Apps sind weltweit davon betroffen.

Am 28. März berichtete der Newsletter The Next Web, dass die Cybersicherheitsfirma Group-IB, einen bisher unbekannten Trojaner entdeckte. Das Unternehmen bezeichnete die Malware, die „Gustuff“ genannt wird, als eine „Waffe der Masseninfektion“.

Der Trojaner wird über SMS-Nachrichten mit integrierten Links verbreitet, die bösartige Android-Paketdateien laden. Sobald ein Android-Gerät infiziert ist, wird der Trojaner automatisch über die Kontaktlisten weiterversendet.

Um die Diebstähle zu beschleunigen und zu skalieren, nutzt die Malware sogenannte „Automatische Transfersysteme“. Diese ersetzen Felder in seriösen Android-Apps automatisch mit bösartigen Daten, um Zahlungen an die Hacker umzuleiten.

Gustuff ahmt etliche Apps nach

Der Newsletter teilte zudem mit, dass Gustuff mehrere „Web-Fakes“ enthalten soll. Das bedeutet, diese ahmen Apps nach, um an die sensiblen Daten von ahnungslosen Benutzern zu kommen. Dies betrifft insgesamt 32 verschiedene Krypto-Apps, darunter Coinbase, Bitpay und Bitcoin Wallet.Darüber hinaus identifizierte Group IB eine Vielzahl an Web-Fakes für führende Banken wie J.P. Morgan, Wells Fargo und Bank of America.

Es wurden 27 gefälschte Krypto- und Bankanwendungen in den Vereinigten Staaten, 16 in Polen, 10 in Australien, neun in Deutschland sowie acht in Indien gesichtet. Die Malware „unterstützt“ auch Zahlungssysteme und Messenger-Dienste wie PayPal, Revolut, Western Union, eBay, Walmart, Skype und WhatsApp.

Wer steckt hinter dem Trojaner?

Der Bericht erklärt, dass Gustaff die barrierefreien Funktionen von Andoird nutzt, die für Benutzer mit einer körperlichen Einschränkung entwickelt wurden. Group bezeichnet diese Vorgehensweise als relativ selten und effektiv:

„Die Verwendung des Accessibility Service Mechanismus bedeutet, dass der Trojaner in der Lage ist, [….] Änderungen an der Sicherheitsrichtlinie von Google, die in neuen Versionen des Android-Betriebssystems eingeführt wurden, zu umgehen. Außerdem weiß Gustuff, wie man Google Protect deaktiviert; laut dem Entwickler des Trojaners funktioniert diese Funktion in 70 Prozent der Fälle.“

Group IB stellte fest, dass hinter Gustuff ein russischsprachiger Cyberkrimineller namens „Bestoffer“ steckt, der ausschließlich auf internationalen Märkten tätig ist.

So kann man sich schützen

Um sich vor Gustuff oder anderer Malware in Schutz zu nehmen, empfiehlt Group IB Anwendungen ausschließlich aus dem Google Play herunterzuladen – und niemals aus Drittanbieter-Shops.

Weiters sollten Apps immer auf den neuesten Stand sein. Es ist auch wichtig, auf die Erweiterungen der heruntergeladenen Dateien zu achten.


Nachrichtenquelle:
cointelegraph.com
thenextweb.com

Bildquellen:
#236288125 – © Aadon / Fotolia.com – Titelbild
„Gustuff ahmt etliche Apps nach“: Bild von Darwin Laganzon auf Pixabay

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein