Qualche tempo fa, la maggior parte dei virus per smartphone generava introiti per gli hacker prendendo in ostaggio i dati degli utenti, e chiedendo loro un riscatto in criptovaluta per sbloccarli: poi, è stata la volta dei bankware, virus mirati che, prendendo di mira le applicazioni di home banking, causavano grandi perdite pecuniarie alle vittime colpite. A tale fattispecie appartiene anche una recente minaccia, emersa in ambito Android.
Il nuovo malware, battezzato Gustuff, è stato scoperto dalla security house russa Group-IP e, a quanto pare, sarebbe in circolazione dal lontano Aprile del 2018, acquisendo col passare del tempo sempre nuove funzionalità.
Di base, il virus in questione, una volta propagatosi tramite link di spam che invitano a scaricare determinati apk, procede a disattivare l’antivirus predefinito di Android (il Play Protect) e, quindi, si avvale degli strumenti di accessibilità del terminale contagiato, seppur in modo diverso dai suoi omologhi (es. Anubis, BankBot).
Nello specifico, Gustuff – frutto di un hacker russo (essendo stato messo in vendita in black market russofoni) – colpisce più di 100 app bancarie (tra cui Bank of America, e JPMorgan), circa 32 wallet per criptovalute (tra cui Coinbase, BitPay, Cryptopay), diversi servizi per micropagamenti (come Revolut e PayPal), non sovrapponendo alle app originali finti form di log-in in modo da rubarne le credenziali, ma operando trasferimenti finanziari automatizzati (ATS, Automatic Transfer Service) direttamente dal terminale colpito.
Oltre a questo, Gustuff sarebbe capace di intercettare e inviare gli SMS (onde validare le transazioni), aprire un canale anonimo (proxy SOCKS5) col server di comando e controllo remoto cui inviare le informazioni del dispositivo ed i file personali (screenshot compresi) ivi presenti, e – onde cancellare le tracce della propria presenza – riuscirebbe persino a ripristinare il dispositivo alle condizioni di fabbrica, ovviamente dopo essersi preso la briga di propagarsi ad altre vittime, attraverso i messaggi inviati a tutta la rubrica del cellulare.
Per cautelarsi da questo particolare malware, si consiglia di diffidare dei messaggi (anche tramite Messenger o WhatsApp) che propongono un link da cui scaricare applicazioni, e di limitarsi a scaricare quest’ultime dal Play Store ufficiale di Android, i cui sistemi di scansione risultano efficaci nello smascherare l’azione di Gustuff.