Android-malware steelt data van bankier- en crypto-apps

De Android-malware 'Gustuff' richt zich op het stelen van geld via legitieme banken- en cryptocurrency-apps.

De malware werd ontdekt door cyberveiligheidsbedrijf Group-IB, die er de naam 'Gustuff' op plakte. De trojan werkt volgens het Group-IB deels vergelijkbaar met andere geautomatiseerde phishing-apps voor Android. De app maakt misbruik van de toegankelijkheidsfuncties van Android.

Die functies voor mensen met een beperking maken het mogelijk om delen van de interface van de telefoon te automatiseren. Door dat te misbruiken kunnen makers van malware bijvoorbeeld de inhoud van tekstvelden kopiëren en doorsturen, zonder dat gebruikers dat merken.

Gustuff geeft nog een draai aan die mogelijkheid, door hem in te zetten voor het automatisch wegsluizen van geld. De malware kan zelfstandig legitieme apps van banken en cryptovaluta openen, een rekeningnummer naar keuze invoeren en een transactie afronden.

Honderd banken

De malware richt zich op apps van meer dan honderd banken, inclusief Amerikaanse, Duitse en Poolse banken. Ook richt de app zich op populaire crypto-apps als Bitcoin Wallet, BitPay, Cryptopay en Coinbase. Van beter beveiligende apps die het niet zelfstandig kan bedienen, zoals die van PayPal, Skype en WhatsApp, probeert de app alsnog logingegevens te ontfutselen.

De malware zou vooralsnog alleen via sms en links zijn verspreid. Gustuff moet als zogenoemd apk-bestand door de gebruiker geïnstalleerd worden. Ongemerkte besmetting is daarom niet erg aannemelijk. Er zijn geen aanwijzingen dat de malware ooit via de officiële Google Play Store is verspreid. Wel zou Gustuff al sinds april 2018 rondgaan.

Ondanks het bestaan van dergelijke malware, is het gebruik van mobiele apps van banken in de meeste gevallen nog altijd de veiligste manier van internetbankieren, met minder risico's dan bankieren via een browser.