Eine neue Trojaner-Malware für Android-Handys richtet sich gegen Benutzer von Top-Krypto-Apps wie Coinbase, BitPay und Bitcoin Wallet sowie an Banken wie JPMorgan, Wells Fargo und Bank of America. Dies geht aus der Berichterstattung von The Next Web am 28. März hervor.

Basierend auf Forschungsergebnissen des renommierten Cybercrime-Analyseunternehmens Group-IB ist dies das erste ersten Mal, dass der – jetzt "Gustuff" genannt – gemeldet oder analysiert wurde. Die Malware wird als Masseninfektion bezeichnet und wird durch SMS-Nachrichten mit Links zum Laden schädlicher Dateien des Android-Paketkits verbreitet.

Die Ersteller der Malware haben angeblich ein "Automatic Transfer Systems" entwickelt, die die Diebstähle beschleunigen und skalieren sollen, indem sie automatisch Zahlungsfelder für legitime Android-Apps ausfüllen, um Übertragungen böswillig an die Hacker weiterzuleiten.

Die App soll angeblich eine Reihe von "Web-Fälschungen" herausgeben, die legitime Apps nachahmen, um sensible Daten von Benutzern zu ermitteln, die sich insbesondere an Kunden von bis zu 32 verschiedenen Krypto-Apps richten. Push-Benachrichtigungen mit legitimen Symbolen sind ein weiteres Mittel, mit dem Malware automatische Downloads ausführt und Transaktionsdateien automatisch ausfüllt.

Berichten zufolge identifizierte die Gruppe IB 27 gefälschte Krypto- und Banking-Apps für die Vereinigten Staaten, 16 für Polen, zehn für Australien, neun für Deutschland und neun für Indien. Die Malware richtet sich auch gegen Zahlungssysteme und Messengerdienste wie PayPal, Revolut, Western Union, eBay, Walmart, Skype und WhatsApp.

Um funktionieren zu können, nutzt Gustaff Berichten zufolge die barrierefreien Funktionen von Android, die für Benutzer mit Behinderungen konzipiert wurden. Group IB bezeichnet dies als einen relativ seltenen und effektiven Trick:

„Die Verwendung des Accessibility Service-Mechanismus bedeutet, dass der Trojaner [...] Änderungen an den in neuen Versionen des Android-Betriebssystems eingeführten Sicherheitsrichtlinien von Google umgehen kann. Außerdem weiß Gustuff, wie es Google Protect deaktivieren können. Laut dem Entwickler des Trojaners funktioniert diese Funktion in 70 Prozent der Fälle."

Berichten zufolge wurde die Malware zuerst im April 2018 in Hackerforen aufgetaucht. Die Group IB weist darauf hin, dass Gustuff von einem russischsprachigen Cyberkriminellen mit dem Spitznamen "Bestoffer" entwickelt wurde, sich jedoch an Kunden internationaler Unternehmen hauptsächlich außerhalb Russlands richtet.

Group IB empfiehlt Android-Nutzern , Apps ausschließlich aus dem Google Play Store herunterzuladen und auf die Endungen der heruntergeladener Dateien zu achten.

Wie bereits im Februar berichtet, wurde die dezentrale App MetaMask kürzlich von Google Play entfernt, nachdem Forscher Malware gefunden hatten, die das Tool zum Krypto-Diebstahl von Benutzern imitierte.