Le Group-IB a découvert un logiciel malveillant, nommé Gustuff, un cheval de Troie mobile sur Android, capable de viser les clients des grandes banques mondiales, des utilisateurs de services de cryptomonnaies, et de sites de commerce en ligne et des plateformes populaires.

Parmi les grandes banques, on citera Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank et PNC Bank.

Parmi les services de cryptomonnaie, on notera Bitcoin Wallet, BitPay, Cryptopay et Coinbase.

D’après les spécialistes de Groupe-IB, les utilisateurs de plus de cent applications mobiles sont visés, dont 27 aux États-Unis, 16 en Pologne, 10 en Australie, 9 en Allemagne, 8 en Inde et 32 applications de cryptomonnaies.

D’abord conçu comme un cheval de Troie pour applications bancaires, Gustuff a largement accru sa lise de victimes potentielles, avec les services crypto, la fintech, les places de marchés, magasins en ligne, systèmes de paiements et messageries comme PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut etc.

Les appareils Android sont infectés à l’aide d’un SMS avec un lien vers un fichier APK malveillant, qui tente de tromper l’utilisatrice ou l’utilisateur afin de lui conférer des droits sur l’accessibilité: des fonctions prévues à l’origine pour faciliter l’utilisation d’un appareil pour les personnes souffrant d’un handicap.

Une fois infecté, Gustuff exploite les carnets d’adresses pour s’étendre aux contacts de la victime.

Quand le logiciel est activé, les services d’accessibilité lui permettent de prendre des actions par défaut, ce qui est exploité pour les services de transferts automatisés, en envoyant de fausses notifications, en remplissant automatiquement les informations de transferts, pour passer outre les mesures de sécurité mises en place par les banques pour se protéger de chevaux de Troie plus vieux, et pour désactiver Google Protect dans 70 % des cas.

Comme si cela ne suffisait pas, le logiciel malveillant sait envoyer des informations sur l’appareil contaminé à son serveur de contrôle et de commande, lire et envoyer des SMS, lancer des proxys SOCKS5, suivre des hyperliens, transférer des fichiers, et réinitialiser l’appareil à son réglage d’usine.