Troianul bancar Gugi invinge setarile de securitate ale noului Android 6

Expertii Kaspersky Lab au descoperit o varianta a troianului bancar Gugi, care poate invinge setarile de securitate ale noului Android 6, concepute pentru a bloca atacurile de phishing si ransomware. Acest troian modificat ii forteaza pe utilizatori sa-I dea dreptul de a se substitui unei aplicatii autentice, de a trimite si vizualiza SMS-uri, de a face apeluri telefonice si multe altele. Este raspandit prin tehnici de social engineering si este tot mai folosit de catre infractorii cibernetici: in perioada aprilie – inceputul lui august 2016, numarul de victime a crescut de 10 ori.

Scopul troianului Guji este sa fure datele de identificare ale utilizatorilor, substituind aplicatiilor bancare legitime unele de phishing, si informatiile privind cardurile de credit, controland aplicatia Google Play Store. La sfarsitul anului 2015, a fost lansata versiunea 6 de Android, cu noi setari de securitate, create pentru a bloca astfel de atacuri. Printre altele, aplicatiile au acum nevoie de permisiunea utilizatorului pentru a schimba setarile altor aplicatii si trebuie sa solicite aprobarea pentru actiuni cum ar fi expedierea de SMS-uri si apeluri voce, prima data cand vor sa le acceseze.

Expertii anti-malware ai Kaspersky Lab au descoperit o noua varianta a troianului Gugi, care reuseste sa treaca de aceste doua noi functionalitati.

Infectarea initiala cu troianul modificat are loc prin intermediul unor tehnici de social engineering, de obicei cu un SMS spam care ii incurajeaza pe utilizatori sa dea click pe un link compromis. Atunci cand este instalat pe un dispozitiv, troianul cauta sa obtina drepturile de acces de care are nevoie. Cand este gata, programul malware afiseaza urmatorul mesaj pe ecranul utilizatorului: “necesita acord suplimentar pentru utilizarea de grafice si ferestre”. Nu exista decat o varianta de raspuns: “Accept.”

Atunci cand utilizatorul da click pe acest buton, apare un ecran care solicita permisiunea sa preia controlul aplicatiei. Dupa ce primeste permisiunea, troianul va bloca ecranul dispozitivului, cu un mesaj in care solicita drepturi de administrator al dispozitivului infectat, iar apoi va cere permisiunea sa trimita si sa vizualizeze SMS-uri si sa faca apeluri.

Daca nu primeste toate permisiunile de care are nevoie, va bloca total dispozitivul infectat. In acest caz, singura optiune a utilizatorului este sa dea “reboot” in “safe mode” si sa incerce sa dezinstaleze troianul, ceea ce va fi mult mai greu daca a obtinut deja drepturile de administrare a dispozitivului infectat.

In afara acestor metode de evitare a masurilor de securitate si a altor catorva caracteristici, Gugi este un troian bancar tipic: fura datele de autentificare financiara, SMS-urile si persoanele de contact, face cereri USSD (Unstructured Supplementary Service Data) si trimite SMS-uri, dupa cum i se cere din serverul de comanda. Pana acum, 93% dintre utilizatorii atacati cu troianul Guji sunt din Rusia, dar numarul victimelor este in crestere. In prima jumatate a lunii august 2016, erau de 10 ori mai multe victime decat in aprilie 2016.

“Securitatea cibernetica este o cursa fara sfarsit. Sistemele de operare, cum este Androidul, isi actualizeaza permanent functionalitatile de securitate pentru a face viata infractorilor cibernetici mai grea si pe a clientilor mai sigura. Infractorii cibernetici sunt neobositi in tentativele lor de a gasi noi modalitati de atac, iar industria de securitate este la fel de ocupata, incercand sa ii impiedice. Descoperirea troianului Gugi modificat este un bun exemplu in acest sens. Facand publica amenintarea, putem s-o neutralizam si sa contribuim la siguranta utilizatorilor, a dispozitivelor si a datelor lor”, a spus Roman Unucheck, Senior Malware Analyst, Kaspersky Lab.

Kaspersky Lab le recomanda utilizatorilor de dispozitive cu sistem Android sa ia urmatoarele masuri pentru a se proteja de troianul Gugi si de alte programe malware:

  • Nu acordati, automat, permisiuni si drepturi atunci cand o aplicatie le solicita – ganditi-va ce vi se cere si care sunt motivele.
  • Instalati o solutie antimalware pe toate dispozitivele si pastrati sistemele de operare actualizate.
  • Nu dati click pe link-uri din mesaje primite din partea unor persoane necunoscute sau, in mod neasteptat, de la cunoscuti.
  • Fiti precauti intotdeauna atunci cand vizitati site-uri: cand ceva pare suspect, sunt sanse chiar sa fie.

Familia troianului bancar Gugi pentru Android este cunoscuta din decembrie 2015. Produsele Kaspersky Lab detecteaza toate modificarile familiei malware de troieni Gugi.

Pentru mai multe informatii despre modul in care troianul Gugi reuseste sa treaca de elementele de securitate ale sistemului Android 6, cititi articolul de pe Securelist.com.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.