您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner

新款Android木馬程式Gustuff現蹤

資安業者Group-IB於3/28揭露一款功能強大的Android金融木馬程式Gustuff,它瞄準市場上超過100款金融程式與32款加密貨幣程式,除可竊取使用者的金融憑證外,還能自動執行交易。Gustuff主要的感染途徑是藉由簡訊傳送惡意APK檔案連結予Android用戶,一旦Android用戶下載並安裝Gustuff,它就能接收遠端伺服器的命令,傳送惡意簡訊給裝置上的聯絡人,進一步擴大感染範圍。

Gustuff能夠顯示基於合法程式圖示的假通知,當使用者點選該通知時,可能會出現兩種結果,一是跳出要求使用者輸入憑證的視窗,二是會開啟合法程式,然後在付款欄位自動填入支付資訊以進行非法轉帳。第一種是金融木馬最常見的手法,目的是為竊取使用者的金融憑證。第二種則是Gustuff特有的自動轉帳系統(Automatic Transfer System, ATS)功能,能夠自動填入或竄改金融程式中的欄位。

為執行ATS,Gustuff利用Android平台上的「輔助」(Accessibility Service)服務以繞過金融程式的安全機制,讓Gustuff得以與這些金融程式互動,進而執行非法轉帳。此外,Gustuff也能關閉Google Protect功能,且成功率高達7成。Gustuff不只鎖定眾多的金融與加密貨幣程式,還能危及各種市集、線上商店、支付系統或傳訊程式,涵蓋PayPal、Western Union、eBay、Walmart、Skype與WhatsApp等。Gustuff除竊取金融憑證或盜轉外,亦可將受駭裝置上的簡訊、螢幕截圖或照片傳送到遠端伺服器,或是自遠端將裝置回復成出廠預設值。

Group-IB於2018年4月於駭客論壇上發現Gustuff,駭客並以每月800美元的價格兜售Gustuff殭屍網路。雖然Gustuff是由俄羅斯駭客所打造,但主要感染範圍與鎖定的金融機構都在俄羅斯外。Group-IB負責安全情報分析Rustam Mirkasymov表示,這是因為俄羅斯政府最近大舉掃盪境內的Android殭屍網路並逮捕相關駭客,才使當地駭客將目標轉移到國際市場。

Reference

資料來源:
https://www.bleepingcomputer.com/news/security/gustuff-android-malware-targets-100-banking-and-32-cryptocurrency-apps/
https://www.darkreading.com/mobile/new-android-trojan-targets-100+-banking-apps/d/d-id/1334284?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple
https://www.group-ib.com/media/gustuff/
https://www.ithome.com.tw/news/129672
技術服務中心整理

Publish Date
2019/4/12 0:00:00