Wie aus einem Bericht der Tech-Nachrichtenseite The Next Web vom 28. März hervorgeht, wurde eine brandneue Generation von Malware entdeckt, die speziell auf Android-User abzielt. Mehrere namhafte Krypto- sowie Banken-Apps sind weltweit davon betroffen.
Entdeckt wurde die Malware, die „Gustuff“ genannt wird, vom renommierten Cybercrime-Analyseunternehmen Group-IB, das die Schadsoftware als „Waffe der Masseninfektion“ bezeichnet. Laut dem Unternehmen wird der Trojaner über SMS-Nachrichten mit Links verbreitet, die beim Öffnen bösartige Android-Paketdaten herunterladen. Wenn ein Android-Gerät inzifiert ist, wird die Malware automatisch über die Kontaktliste weiter verbreitet.
Die Ersteller von Gustuff haben ein sogenanntes „Automatic Transfer System“ entwickelt, wodurch die Diebstähle skaliert und beschleunigt werden sollen. Dabei werden die Zahlungsfelder für legitime Android-Apps automatisch ausgefüllt, um die Zahlungen bösartig an die Hacker umzuleiten.
Group IB erklärt, dass die Malware noch dazu die barrierefreien Funktionen von Android nutzt, die für Benutzer mit körperlichen Einschränkungen konzipiert wurden. Das Unternehmen bezeichnet dies als einen relativ seltenen jedoch effektiven Trick:
„Die Verwendung des Accessibility Service-Mechanismus bedeutet, dass der Trojaner […] Änderungen an den in neuen Versionen des Android-Betriebssystems eingeführten Sicherheitsrichtlinien von Google umgehen kann. Außerdem weiß Gustuff, wie es Google Protect deaktivieren können. Laut dem Entwickler des Trojaners funktioniert diese Funktion in 70 Prozent der Fälle.“
Malware ahmt Apps nach
Weiters steht im Bericht, dass Gustuff als „Web-Fakes“ etliche Apps nachahmen soll, um an sensible Nutzer-Daten zu gelangen. Dies betrifft 32 verschiedene Krypto-Apps wie BitPay, Coinbase und Bitcoin Wallet. Zudem identifizierte Group IB mehrere Web-Fakes für rennomierte Banken wie J.P Morgan, Wells Fargo sowie Bank of America.
Insgesamt wurden etwa 27 gefälsche Banken- und Krypto-Apps für die USA, 16 für Polen, 10 für Australien, neun für Deutschland sowie acht für Indien gesichtet. Zudem richtet sich Gustuff auch gegen Messengerdienste und Zahlungssysteme wie Skype, WhatsApp, eBay, Western Union, PayPal, Revolut und Walmart.
Wie kann man sich schützen?
Group IB stellt fest, dass die Malware das erste Mal im April 2018 in diversen Hackerforen aufgetaucht ist. Das Unternehmen weist darauf hin, dass hinter Gustuff ein russischsprachiger Cyberkrimineller namens „Bestoffer“ steckt, der sich hauptsächlich an Kunden internationaler Unternehmen außerhalb Russlands richtet.
Um sich vor Gustuff oder anderer Malware zu schützen, empfiehlt Group IB allen Android-Nutzern, Apps ausschließlich aus dem offiziellen Google Play Store herunterzuladen. Außerdem sollte man alle Apps auf dem neuesten Stand halten und bei heruntergeladenen Dateien besonders auf die Endungen achten.
