Задача трояна — вывод со счетов пользователей как обычных денег, так и криптовалюты. Он потенциально нацелен на пользователей мобильных приложений крупнейших банков, таких как Bank of America, Bank of Scotland или J.P. Morgan, маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров (PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett, Revolut), а также криптокошельков (Bitcoin Wallet, BitPay, Cryptopay, Coinbase).
Пока, по данным Group-IB, речь идет о 32 приложениях для хранения криптовалют и клиентах более 100 банков в в США, Польше, Австралии, Германии и Индии. При этом эксперты отмечают, что Gustuff работает исключительно на международных рынках, но иногда может использоваться и в России.
Троян проникает на Android-смартфоны через SMS со ссылками на архивы с расширением APK (формат исполняемых файлов-приложений для Android), а затем распространяется по базе контактов телефона или базе данных сервера. Причем у Gustuff есть функция автозалива в мобильные банковские приложения и криптокошельки, что позволяет ускорить и увеличить кражу денег.
После загрузки на телефон троян получает возможность выполнять необходимые для злоумышленников действия — например, нажимать на кнопки и изменять значения текстовых полей в банковских приложениях. Кроме того, он может показывать фейковые push-уведомления.
В таких случаях пользователь кликает на иконку легитимного приложения и видит загруженное с сервера фишинговое окно, куда сам вводит данные банковской карты или криптокошелька. Gustuff также может по команде сервера заполнять поля формы банковского приложения для мошеннической транзакции.
Вирус способен отправлять на сервер информацию о зараженном устройстве, позволяет переходить по ссылкам, читать и отправлять SMS, отправлять на сервер файлы, например фотографии или сканы документов, сбрасывать устройство до заводских настроек. Он умеет обходить защиту, которую банки применяют для противодействия мобильным троянам прошлого поколения, а также изменения в политике безопасности в новых версиях Android.