Android木馬Gustuff鎖定金融與加密貨幣程序

本周一款功能強大的Android金融木馬Gustuff，瞄準了市場上超過100款金融程序與32款加密貨幣程序，除了可竊取使用者的金融賬密之外，還能自動執行交易。

Gustuff主要的感染途徑是通過簡訊向Android用戶發送惡意APK文件鏈接的，一旦Android用戶下載並安裝了Gustuff，它就能接收遠程伺服器的命令，並向手機通信錄上的聯繫人發送惡意簡訊，進一步擴大感染範圍。

Gustuff能夠顯示基於合法程序圖示的假通知，當使用者點選該通知時，可能會出現兩種結果，一是跳出要求使用者輸入登錄名與密碼的彈窗，二是會開啟合法程序，然後在付款欄內自動填入支付信息以進行非法轉帳。

第一種是金融木馬最常見的手法，目的是為了竊取使用者的金融賬密。而第二種則有賴於Gustuff的獨特能力：自動轉帳系統（Automatic Transfer Systems，ATS），ATS能夠自動填入或篡改金融程序中的付款欄。

為了執行ATS，Gustuff利用了Android平台上的「輔助」（Accessibility Service）服務以繞過金融程序的安全機制，讓Gustuff得以與這些金融程序互動，進而執行非法轉帳。此外，Gustuff也能關閉Google Protect功能，且成功率高達70%。

Gustuff不只鎖定了眾多的金融與加密貨幣程序，還能危及各種應用商店、線上購物、支付系統或簡訊程序，涵蓋PayPal、Western Union、eBay、Walmart、Skype與WhatsApp等。而且除了竊取金融賬密或盜刷之外，其還能將被黑設備上的簡訊、屏幕截圖或照片傳送到遠程伺服器，或是遠程將設備恢復為出廠設置。

【近來俄羅斯政府大舉掃蕩境內的Android殭屍網路並逮捕相關駭客，使得當地駭客將目標轉移到國際市場。而安全廠商最早於去年4月就在駭客論壇上發現過Gustuff，當時有人以每月800美元的價格兜售Gustuff殭屍網路。】

調查區域：企業小調查(點擊預覽可查看效果)

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！