Как говорится в сообщении Group-IB, потенциально троян нацелен на клиентов, использующих мобильные приложения крупнейших банков, таких как Bank of America, Bank of Scotland, J.P. Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank, а также на криптокошельки Bitcoin Wallet, BitPay, Cryptopay, Coinbase и др.

Также Gustuff нацелен на данные пользователей приложений маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров, в частности PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut и других.

Gustuff проникает на Android-смартфоны через СМС-рассылки с фишинговыми ссылками. Функциональные возможности трояна рассчитаны на массовое заражение. Также в нем присутствует уникальная функция «автозалива», реализованная через сервис для людей с ограниченными возможностями, в легитимные мобильные банковские приложения и криптокошельки, что позволяет ускорить и масштабировать кражу денег.

При этом Gustuff может демонстрировать фейковые push-уведомления с иконками мобильных приложений с запросом данных банковской карты или криптокошелька.

Автором трояна является русскоязычный киберпреступник, но Gustuff «работает» исключительно на международных рынках.