La firma de seguridad informática Group IB ha publicado un informe donde revela un nuevo troyano que ha pasado a ser en poco tiempo en uno de los malware más utilizados en la actualidad. Su nombre es Gustuff, y a pesar de que fue detectado hace un año, su continua actualización le ha convertido en una de potente herramienta para desplegar ataques de phishing y hacerse con las credenciales bancarias de los usuarios.
Según el informe, Gustuff cuenta con grandes capacidades operativas, incluyendo la automatización de transacciones para 32 apps de criptomonedas y más de 100 apps bancarias. Los niveles de sofisticación del troyano lo han llevado al mismo nivel de peligrosidad que LokiBot y del malware Anubis, una poderosa herramienta de ataque detectada a principios de este año.
Algunas de las principales apps que se han visto afectadas por el accionar de Gustuff pertenecen a Bank of America, Wells Fargo, J.P. Morgan, Bank of Scotland, eBay, Western Union, Skype, PayPal, Revolut, WhatsApp, Walmart, Bitcoin Wallet, BitPay, Cryptopay, Coinbase, entre otras. Evidentemente, el hecho de que el malware opere en las principales apps bancarias y de criptomonedas, hace que las posibilidades de ataque aumenten y, por ende, los hackers estén utilizándolo ampliamente.
Sin embargo, la interoperabilidad del troyano en una amplia gama de apps no es el único atributo de Gustuff. Los investigadores afirman que el malware cuenta con un sistema ATS (Automatic Transfer Service) altamente potente que le permite abrir las apps, ingresar las credenciales que fueron obtenidas mediante phishing y llevar a cabo las transacciones.
En este sentido, los hackers no participan directamente en el proceso de robo, ya que las criptomonedas y el dinero son robados y se transfieren a sus cuentas de forma automática. Esto es posible gracias al “Servicio de Accesibilidad, el cual es aprovechado por los hackers para registrar las entradas de las personas mediante el sistema Android y las apps individuales.
De momento, la Google Play Store no tiene ninguna app infectada con el malware. Sin embargo, los investigadores señalaron que los hackers han logrado que los usuarios descarguen el archivo malicioso a través de SMS spam que contienen el enlace.