Ismét lecsapott az okostelefonokra a Gustuff vírus

A Cisco biztonsági szakértői rossz hírekkel szolgáltak: visszatért az androidos telefonokat fertőző, banki adatokra éhes Gustuff vírus.
 

A Gustuff mobil trójai eddigi története nem hosszú, de annál érdekesebb. A szerzeményt előszőr a Cisco Talos biztonsági kutatói azonosították idén áprilisban. A felfedezésük publikálását követően a kártékony program készítői - eddig ismeretlen okból - egyszerűen lekapcsolták a vezérlőszervereiket, így látszólag elvesztették a kontrollt az addig megfertőzött készülékek felett. Ekkor akár azt is gondolhattuk volna, hogy megijedtek, és inkább felhagytak a ténykedésükkel, de júniusban kiderült, hogy erről szó sincs. Egész egyszerűen az történt, hogy a vezérlőszerveik helyett SMS-üzenetekkel kezdték terjeszteni, illetve utasítani a kártékony kódjukat. Ez ugyan kevésbé volt hatékony számukra, de úgy látták, hogy így hosszabb távon tudják fenntartani a kialakított botnet hálózatukat. A kártevő mögött meghúzódó csoport nyár óta folyamatosan végzi a nemkívánatos tevékenységét, és az elmúlt napokban egy újabb Gustuff variáns terjesztésébe kezdett.
 
A Gustuff eredetileg sem volt egy nulláról megírt mobilvírus, ugyanis arra a Marcher nevű banki trójaira épült, amely már évek óta ismert a biztonsági cégek előtt. A legújabb variánsa viszont számos újdonságot hozott, és mind felépítésben, mind funkcionalitásban egyre jobban távolodik a Marcher-féle gyökerektől. Ez egyebek mellett abban is megnyilvánul, hogy az új változat már nem kizárólag banki adatokat, bank- és hitelkártyaszámokat igyekszik megkaparintani, hanem kormányzati szervek által üzemeltetett szolgáltatásokhoz tartozó hitelesítő adatokat is kémlel. A szerzemény eddig elsősorban ausztrál célpontok ellen fordult, így ausztrál banki, adóhivatali és társadalombiztosítási szolgáltatások iránt mutat fokozott érdeklődést.
 
A kártékony program jelentős mértékben épít a JavaScript adta lehetőségekre. Amikor felkerül egy készülékre, akkor azon türelmesen várakozik, majd egyszer csak megjelenít egy webes űrlapot, amelyen arra kéri a felhasználót, hogy frissítse a hitelkártyájának adatait. (A késleltetésre azért van szükség, hogy a felhasználó a kártékony app telepítését követően kevésbé fogjon gyanút, és kisebb valószínűséggel vonjon párhuzamot a történtek között.)