Cyberthreat.id – Cisco Talos, perusahaan cybersecurity asal Maryland, Amerika Serikat, baru-baru ini menemukan, kampanye serangan trojan android Gustuff menampilkan versi yang diperbarui.

Pembuat malware perbankan tersebut mengubah host distribusi dan kemudian pindah untuk mengaktifkan infrastruktur perintah dan kontrol (C&C). Namun, operator terus mengontrol malware melalui saluran administrasi sekunder berdasarkan SMS, demikian seperti dikutip dari Security Week, yang diakses Senin (28 Oktober 2019).

Gustuff saat ini memiliki jejak statis yang lebih rendah karena tidak lagi berisi paket nama hardcoded, dan memungkinkan operator untuk mengeksekusi skrip menggunakan perintah internal. Hal tersebut bergantung pada JavaScript yang merupakan hal baru dalam malware Android.

Menurut para peneliti keamanan, awalnya kampanye Gustuff didasarkan pada trojan perbankan Marcher, tapi kini telah berubah. Malware versi baru menggunakan pesan SMS berbahaya untuk infeksi dan terutama menargetkan pengguna di Australia—mereka menyasar otentikasi dua faktor berbasis token dan kesadaran keamanan.

Malware versi baru mulai diamati peneliti awal Oktober. Menurut peneliti, malware ini mengirim pesan SMS pembiakan, yaitu setiap target mengirim sekitar 300 pesan SMS per jam.

Menurut Talos, serangan-serangan tersebut, terutama menargetkan bank-bank Australia dan dompet mata uang digital.

Gustuff saat ini mendukung pemuatan dinamis WebViews, artinya dapat menerima perintah untuk membuat WebView menargetkan domain tertentu (injeksi diunduh dari server jauh).

Para peneliti juga mengamati perintah dari C&C untuk menargetkan portal pemerintah Australia yang terkoneksi dengan beberapa layanan publik, termasuk pajak dan jaminan sosial, dengan perintah yang dikeluarkan sebelum injeksi lokal diambil dari server jarak jauh.

"Ini perubahan bagi aktor yang sekarang tampaknya menargetkan kredensial yang digunakan di portal web resmi pemerintah Australia," ujar Talos.

Meskipun tidak ada perubahan dalam cara melakukan kampanye, Gustuff masih mengubah cara menggunakan malware untuk melakukan kegiatan penipuannya.

Target utama adalah dompet perbankan dan cryptocurrency. Namun, berdasarkan daftar aplikasi dan perubahan kode, aktor di belakangnya sedang mencari kegunaan lain dari malware varian baru ini.