Android银行木马已开始在网络犯罪黑社会中流行。名为Gustuff的木马已经存在了将近一年，在此期间，它逐渐收到了更新而不是更新的消息，从而在功能和定位功能方面成为了强大的力量。

这个Android银行木马现在加入了类似的顶级威胁行列，例如Anubis，Red Alert，Exobot，LokiBot和BankBot。

根据网络安全公司Group-IB与ZDNet共享的Gustuff分析，Gustuff可以仿冒凭据并自动执行100多种银行应用程序和32种加密货币应用程序的银行交易。

目标包括美国银行，苏格兰银行，摩根大通，富国银行，Capital One，TD银行和PNC银行等知名银行，以及BitPay，Cryptopay，Coinbase和Bitcoin Wallet等加密货币应用。

此外，该木马还可以仿冒其他各种Android pyment和消息传递应用程序的凭据，例如PayPal，Western Union，eBay，Walmart，Skype，WhatsApp，Gett Taxi，Revolut等。

古斯塔夫的绝招

在其引擎盖下，Gustuff的运作方式与市场上所有其他Android银行木马一样。它使用社交工程欺骗用户，使其可以访问Android Accessibility服务，该功能适用​​于残障用户，并且它是一种功能强大的工具，可以自动进行各种UI交互并代表用户点击屏幕上的项目。

大多数Android银行恶意软件都使用此服务来赋予自己管理员权限，并在其他应用程序顶部显示伪造的登录页面。但是，Gustuff滥用此服务的方式有所不同，并且比其所有竞争对手更复杂，更狡猾。

Group-IB恶意软件部门动态分析主管Rustam Mirkasymov 昨天对ZDNet表示：“使用[无障碍服务]的木马确实不罕见。” “ Gustuff的独特功能是它能够在无障碍服务的帮助下执行ATS。”

ATS是银行业和银行业恶意软件业的专有术语。它代表自动转移服务。当用于恶意软件时，它是指银行木马能够从受感染用户的计算机进行交易，而不是窃取其帐户凭据，然后使用这些凭据通过其他计算机/智能手机窃取金钱。

基本上，由于有了Android Accessibility服务，Gustuff才在用户的手机上实现了ATS系统。它可以打开应用程序，填写凭据和交易详细信息，并自行批准转账。

在VNC等服务的帮助下，旨在感染Windows计算机的银行木马已经这样做了多年，但是对于Android银行木马来说，ATS仍然很少发生。

Mirkasymov告诉ZDNet： “ Gustuff使用ATS的事实使它比Anubis和RedAlert更先进。”

尚未在GOOGLE PLAY商店上

但是，尽管该木马比大多数同类产品都先进，但它并没有那么受欢迎。Gustuff从未部署在官方Google Play商店上传的应用程序内，因为它目前似乎无法绕过Google的安全扫描- 与大多数竞争对手不同。

Group-IB说，目前，看到威胁行为者分发木马的唯一方法是通过SMS垃圾邮件，该垃圾邮件带有指向木马的APK安装文件的链接。

自2018年4月以来，该木马就一直在市场上销售。当时，该木马的作者首次在知名的讲俄语的网络罪犯论坛上对其进行广告宣传。

其他GUSTUFF功能

除了构建了由无障碍服务驱动的ATS之外，Gustuff还具有其他功能。根据其广告，Gustuff还可以关闭Google Play应用的一项安全功能Google Play Protect，据作者称，该功能在70%的情况下都有效。

该木马还可以显示可以摆放在任何应用程序中的自定义推送通知，但是单击该木马后，打开显示网络钓鱼形式的网页以窃取特定服务的登录凭据，或者打开合法应用程序，木马会自动-填写交易表格并使用“辅助功能”服务自动批准资金转帐。

最后但并非最不重要的一点是，该木马还可以从受感染的设备收集数据，例如必要时的文档，照片和视频。它最隐蔽的功能是Gustuff能够将设备重置为出厂设置，以防特洛伊木马程序操作员担心会发现他们在设备上的存在。