本周一款功能强大的Android金融木马Gustuff，瞄准了市场上超过100款金融程序与32款加密货币程序，除了可窃取使用者的金融账密之外，还能自动执行交易。

　　Gustuff主要的感染途径是通过短信向Android用户发送恶意APK文件链接的，一旦Android用户下载并安装了Gustuff，它就能接收远程服务器的命令，并向手机通信录上的联系人发送恶意短信，进一步扩大感染范围。

　　Gustuff能够显示基于合法程序图示的假通知，当使用者点选该通知时，可能会出现两种结果，一是跳出要求使用者输入登录名与密码的弹窗，二是会开启合法程序，然后在付款栏内自动填入支付信息以进行非法转帐。

　　之一种是金融木马最常见的手法，目的是为了窃取使用者的金融账密。而第二种则有赖于Gustuff的独特能力：自动转帐系统（Automatic Transfer Systems，ATS），ATS能够自动填入或篡改金融程序中的付款栏。

　　为了执行ATS，Gustuff利用了Android平台上的“辅助”（Accessibility Service）服务以绕过金融程序的安全机制，让Gustuff得以与这些金融程序互动，进而执行非法转帐。此外，Gustuff也能关闭Google Protect功能，且成功率高达70%。

　　Gustuff不只锁定了众多的金融与加密货币程序，还能危及各种应用商店、线上购物、支付系统或短信程序，涵盖PayPal、Western Union、eBay、Walmart、Skype与WhatsApp等。而且除了窃取金融账密或盗刷之外，其还能将被黑设备上的短信、屏幕截图或照片传送到远程服务器，或是远程将设备恢复为出厂设置。

　　【近来俄罗斯 *** 大举扫荡境内的Android僵尸 *** 并逮捕相关骇客，使得当地骇客将目标转移到国际市场。而安全厂商最早于去年4月就在骇客论坛上发现过Gustuff，当时有人以每月800美元的价格兜售Gustuff僵尸 *** 。】