Securitatea din Android 6.0 Marshmallow, învinsă de un virus bancar
0Troianului bancar Gugi poate învinge setările de securitate ale noului Android 6.0 Marshmallow, concepute pentru a bloca atacurile de phishing şi ransomware. Vestea vine cu câteva săptămâni înainte ca Google să anunţe actualizarea la Android 7.
Acest troian modificat identificat de Kaspersky îi forţează pe utilizatori să-i dea dreptul de a se substitui unei aplicaţii autentice, de a trimite şi vizualiza SMS-uri, de a face apeluri telefonice şi multe altele. Este răspândit prin tehnici de social engineering şi este tot mai folosit de către infractorii cibernetici: în perioada aprilie – începutul lui august 2016, numărul de victime a crescut de 10 ori. Familia troianului bancar Gugi pentru Android este cunoscută din decembrie 2015.
Scopul troianului Gugi este să fure datele de identificare ale utilizatorilor, să înlocuiască aplicaţii bancare legitime cu unele de phishing, să obţină informaţiile cardurilor de credit şi să controleze aplicaţia Play Store. Android 6 ar fi trebuit, cu noile setări de securitate, să blocheze aşa atacuri. Printre altele, aplicaţiile au acum nevoie de permisiunea utilizatorului pentru a schimba setările altor aplicaţii şi trebuie să solicite aprobarea pentru acţiuni cum ar fi expedierea de SMS-uri şi apeluri voce, prima dată când vor să le acceseze.
Totuşi, noua variantă a troianului Gugi reuşeşte să treacă de aceste două noi funcţionalităţi. Infectarea iniţială cu troianul modificat are loc prin intermediul unor tehnici de social engineering, de obicei cu un SMS spam care îi încurajează pe utilizatori să dea click pe un link compromis. Atunci când este instalat pe un dispozitiv, troianul caută să obţină drepturile de acces de care are nevoie. Când este gata, programul malware afişează următorul mesaj pe ecranul utilizatorului: „necesită acord suplimentar pentru utilizarea de grafice şi ferestre“. Nu există decât o variantă de răspuns: „Accept“.
Atunci când utilizatorul dă click pe acest buton, apare un ecran care solicită permisiunea să preia controlul aplicaţiei. După ce primeşte permisiunea, troianul va bloca ecranul dispozitivului, cu un mesaj în care solicită drepturi de administrator al dispozitivului infectat, iar apoi va cere permisiunea să trimită şi să vizualizeze SMS-uri şi să facă apeluri.
Ce se întâmplă când nu are permisiunile necesare
Dacă nu primeşte toate permisiunile de care are nevoie, va bloca total dispozitivul infectat. În acest caz, singura opţiune a utilizatorului este să dea „reboot“ în „safe mode“ şi să încerce să dezinstaleze troianul, ceea ce va fi mult mai greu dacă a obţinut deja drepturile de administrare a dispozitivului infectat.
În afara acestor metode de evitare a măsurilor de securitate şi a altor câtorva caracteristici, Gugi este un troian bancar tipic: fură datele de autentificare financiară, SMS-urile şi persoanele de contact, face cereri USSD (Unstructured Supplementary Service Data) şi trimite SMS-uri, în funcţie de solicitările făcute de serverul de comandă. Până acum, 93% dintre utilizatorii atacaţi cu troianul Guji sunt din Rusia, dar numărul victimelor este în creştere. În prima jumătate a lunii august 2016, erau de 10 ori mai multe victime decât în aprilie 2016.
Kaspersky Lab le recomandă utilizatorilor de dispozitive cu sistem Android să ia următoarele măsuri pentru a se proteja de troianul Gugi şi de alte programe malware: să nu acorde permisiuni automat, să verifice ce anume va accesa o aplicaţie, să instaleze o soluţie antimalware pe toate dispozitivele şi să actualizeze sistemele de operare şi să eviteze accesarea unor link-uri primite prin mesaje de la persoane necunoscute.