Uma nova linhagem de malware cavalo de Troia para telefones Android tem como alvo usuários globais dos melhores aplicativos de cripto, como Coinbase, BitPay e Bitcoin Wallet, além de bancos como JPMorgan, Wells Fargo e Bank of America. A notícia foi divulgada pelo site de tecnologia The Next Web em 28 de março.

Com base em pesquisas da proeminente firma de análise de cibercrimes Group-IB, esta é a primeira vez que o cavalo de Troia - agora chamado de “Gustuff” - foi reportado ou analisado. O malware é descrito como sendo projetado para infecções em massa e é transmitido por mensagens SMS com links para carregar arquivos maliciosos do kit de pacotes do Android.

Os criadores de malware criaram “Sistemas de Transferência Automática” que visam agilizar e dimensionar os roubos acionando os preenchimentos automáticos de campos de pagamento para aplicativos Android legítimos para reencaminhar transferências maliciosas para os hackers.

O aplicativo tem a intenção de lançar uma série de "falsificações da Web" que imitem aplicativos legítimos para phishing de dados confidenciais de usuários - segmentando especificamente clientes de até 32 aplicativos de cripto diferentes. As notificações por push usando ícones legítimos são um outro dispositivo que o malware usa para automatizar o download de aplicativos falsos e acionar os preenchimentos automáticos de transações.

O Grupo IB identificou 27 aplicativos falsos de cripto e bancos específicos para os Estados Unidos, 16 ara a Polônia, 10 para a Austrália, nove para a Alemanha e mais nove para a Índia. O malware também tem como alvo sistemas de pagamento e serviços de mensageiro, como PayPal, Revolut, Western Union, eBay, Walmart, Skype e WhatsApp.

Para funcionar, o Gustaff explora os recursos de acessibilidade do Android projetados para usuários com deficiências, com o Gruop IB caracterizando isso como um truque relativamente raro e eficaz:

“Usar o mecanismo do Serviço de acessibilidade significa que o cavalo de Troia [...] pode ignorar as alterações na política de segurança do Google introduzidas nas novas versões do sistema operacional Android. Além disso, o Gustuff sabe como desativar o Google Protect; de acordo com o desenvolvedor do cavalo de Troia, esse recurso funciona em 70% dos casos”.

Relatado inicialmente em fóruns de hackers desde abril de 2018, o Group IB observa que o Gustuff foi projetado por um criminoso cibernético de língua russa apelidado de “Bestoffer”, mas tem como alvo clientes de empresas internacionais principalmente de fora da Rússia.

Usuários de Android são aconselhados pelo Grupo IB a baixar aplicativos estritamente da loja Google Play e prestar atenção às extensões de arquivos baixados.

Conforme reportado em fevereiro, o aplicativo descentralizado MetaMask foi retirado recentemente da Google Play depois que os pesquisadores detectaram malware representando a ferramenta para roubar a cripto dos usuários.