Der Malware wurden zahlreiche neue Funktionen hinzugefügt.
Eine von Instram initiierte Kampagne mit dem Gustuff Android-Trojaner für das mobile Bankwesen wurde im Oktober gestartet und zeigt eine aktualisierte Version der Malware, die das Erkennungsprofil senkt.
Die Art und Weise, wie die Cyberkriminellen die Kampagne durchführen, ist die gleiche wie bei einer früheren Offensive im Juni, so die Forscher von Cisco Talos: Instagramme, die Benutzer zum Herunterladen und Installieren von Malware verleiten sollen, sind der erste Angriffsvektor. Nach der Infizierung werden die SMS-Nachrichten des Geräts dazu verwendet, den Trojaner an andere Personen in den Kontaktlisten des Opfers weiterzugeben.
Und wie zuvor richtet sich die Kampagne vor allem an australische Banken und digitale Geldbörsen, um Ausweise und Finanzdaten zu stehlen.
Der Zielpool der Anwendung hat sich jedoch erweitert: Diese neue Version von Gustuff will auch Benutzernamen und Passwörter für die mobilen Anwendungen von Mietseiten und interessanterweise auch die Referenzen des offiziellen Webportals der australischen Regierung stehlen, so die Forscher.
"Während unserer Untersuchung erhielten wir vom [Command-and-Control-Server] C2 den Befehl, das Portal der australischen Regierung anzuvisieren, das mehrere öffentliche Dienste wie Steuern und Sozialversicherung beherbergt", so eine Analyse, die am Montag veröffentlicht wurde. "Der Befehl wurde erteilt, bevor die lokalen Injektionen geladen wurden (mit dem Befehl changearchive). Die Injektionen wurden von einem der C2-Infrastrukturserver geladen. Dieser Befehl ist nicht Teil des Standard-Aktivierungszyklus, und ... dies stellt eine Änderung für den Akteur dar.
Aus technischer Sicht sagten die Forscher von Cisco Talos, dass die Malware immer noch mit demselben Packer eingesetzt wird, der in früheren Kampagnen zu sehen war, aber viele andere Aspekte der neuesten Version von Gustuff haben sich deutlich verändert.
Eine der wichtigsten Weiterentwicklungen der Funktionalität ist die Tatsache, dass sie keine fest programmierten Listen von Dingen enthält, nach denen man suchen muss. Das Weglassen von hartkodierten Namen "verringert den statischen Fußabdruck", der von weißen Hüten zur Analyse verwendet werden kann, stellten die Forscher fest.
So sind beispielsweise die Anwendungen, auf die die Malware abzielt, nicht mehr fest in der Stichprobe codiert, sondern werden der Malware während des Aktivierungszyklus mit dem Befehl "checkApps" zur Verfügung gestellt, so die Analyse. Ebenso wird die Liste der Antiviren- und Antimalware-Software, die Gustuff als Selbstverteidigungsmechanismus blockiert, nun ebenfalls während des Aktivierungszyklus "on the fly" geladen.
Eine weitere bemerkenswerte Änderung ist die Hinzufügung einer Skripting-Engine, die über einen neuen Befehl namens "script" initiiert wird. Sobald der Befehl ausgeführt wird, veranlasst er die Malware, einen WebChromeClient mit aktiviertem JavaScript zu starten. Anschließend fügt er der WebView-Funktion eine JavaScript-Schnittstelle hinzu, die es mobilen Anwendungen für Android ermöglicht, Inhalte aus dem Web innerhalb ihrer Schnittstellen anzuzeigen.
"Standardmäßig hat das WebView-Objekt bereits Zugriff auf das Dateisystem, was... dem Betreiber erlaubt, alle Arten von Skripten auszuführen, um seine Aufgaben zu automatisieren, insbesondere wenn das Skript auch Zugriff auf Befehle aus der Anwendung hat", so Cisco Talos. "Die Hinzufügung einer auf JavaScript basierenden 'poor man scripting engine' gibt dem Operator die Möglichkeit, Skripte auszuführen, während er seine eigenen internen Befehle mit der Kraft der JavaScript-Sprache unterstützt. Dies ist etwas sehr Innovatives im Bereich der Android-Malware".
Eine weitere Änderung besteht darin, dass ein weiterer neuer Befehl, "interaktiv", die Zugänglichkeits-API verwendet, um der Malware die Interaktion mit Bankanwendungen zu ermöglichen. Die Zugänglichkeits-API wird auch an anderer Stelle verwendet: Die Malware zeigt nicht mehr ein Fenster an, in dem der Benutzer seine Kreditkarteninformationen angeben kann.
"Stattdessen wartet sie auf den Benutzer, um es [in einer überwachten Anwendung] zu tun, und - unter Nutzung der Android-API für die Zugänglichkeit - wird sie diese ernten", so die Forscher. "Diese Methode, das Opfer zur Aufgabe seiner Kreditkarteninformationen zu locken, ist weniger offensichtlich und erhöht die Erfolgschancen, auch wenn es länger dauert.
Und schließlich gibt die C2 jedem Befehl jetzt eine eindeutige ID, die dann von Gustuff verwendet wird, um über den Status der Befehlsausführung zu berichten.
"Dadurch kann der böswillige Akteur genau wissen, in welchem Zustand sich die Ausführung befindet, während er vorher nur wissen würde, ob der Befehl empfangen wurde und wie sein Ergebnis aussieht", so die Analyse. "Der Malware-Operator kann nun asynchrone Befehle ausgeben, die eine Rückmeldung über die Ausführung des Befehls erhalten, während er andere Aufgaben ausführt - 'uploadAllPhotos' und 'uploadFile' Befehle sind zwei solcher Befehle.
Insgesamt hat sich der Malware-Code so entwickelt, dass er einen geringeren Erkennungsfußabdruck hat, und aufgrund der Liste der Anwendungen und der Code-Änderungen kann man "mit Sicherheit davon ausgehen, dass der Akteur dahinter nach anderen Verwendungsmöglichkeiten der Malware sucht", warnten die Cisco-Talos-Forscher.