新款Android木馬程式Gustuff鎖定金融程式與加密貨幣程式

資安業者Group-IB於本周揭露一款功能強大的Android金融木馬程式Gustuff，它瞄準市場上超過100款金融程式與32款加密貨幣程式，除了可竊取使用者的金融憑證之外，還能自動執行交易。

Gustuff主要的感染途徑是藉由簡訊傳送惡意APK檔案連結予Android用戶，一旦Android用戶下載並安裝了Gustuff，它就能接收遠端伺服器的命令，傳送惡意簡訊給裝置上的聯絡人，進一步擴大感染範圍。

Gustuff能夠顯示基於合法程式圖示的假通知，當使用者點選該通知時，可能會出現兩種結果，一是跳出要求使用者輸入憑證的視窗，二是會開啟合法程式，然後在付款欄位自動填入支付資訊以進行非法轉帳。

第一種是金融木馬最常見的手法，目的是為了竊取使用者的金融憑證。第二種則有賴於Gustuff的獨特能力：自動轉帳系統（Automatic Transfer Systems，ATS），ATS能夠自動填入或竄改金融程式中的欄位。

為了執行ATM，Gustuff利用了Android平台上的「輔助」（Accessibility Service）服務以繞過金融程式的安全機制，讓Gustuff得以與這些金融程式互動，進而執行非法轉帳。此外，Gustuff也能關閉Google Protect功能，且成功率高達7成。

Gustuff不只鎖定眾多的金融與加密貨幣程式，還能危及各種市集、線上商店、支付系統或傳訊程式，涵蓋PayPal、Western Union、eBay、Walmart、Skype與WhatsApp等。且除了竊取金融憑證或盜轉之外，亦可將受駭裝置上的簡訊、螢幕截圖或照片傳送到遠端伺服器，或是自遠端將裝置回復成出廠預設值。

Group-IB是在去年的4月於駭客論壇上發現了Gustuff，駭客並以每月800美元的價格兜售Gustuff殭屍網路。

有趣的是，Gustuff是由俄羅斯駭客所打造，但主要的感染範圍或鎖定的金融機構都是在俄羅斯以外，在Group-IB負責安全情報分析的Rustam Mirkasymov表示，這是因為俄羅斯政府最近大舉掃盪境內的Android殭屍網路並逮捕相關駭客，才使得當地駭客將目標轉移到國際市場。