GUGI - банковский троян, который используя социальную инженерию, обходит защиту Android 6

  • 9 September 2016
  • admin_dv

В «Лаборатории Касперского» обнаружили банковский мобильный трояна Gugi (Trojan-Banker.AndroidOS.Gugi.c). Используя социальную инженерию, малварь успешно обходит защитные решения, добавленные в Android 6 для защиты от фишинговых атак.

Данное семейство малвари было обнаружено еще в 2015 году, но именно эта модификация – в июне 2016 года. Троян наиболее активен на территории России, почти 93% жертв малвари находятся именно в РФ.

Распространяется Gugi посредством классического SMS-спама: пользователю приходит сообщение, якобы о получении MMS, к которому приложена ссылка. Разумеется, вместо MMS-сообщения по ссылке можно найти только троян Gugi.

С релизом Android 6 разработчики Google представили новые решения, призванные защитить пользователей от последствий фишинга и вредоносных атак. Так, приложениям стало необходимо запрашивать разрешение на отображение своих окон поверх других. Главная цель трояна – перекрыть банковское приложение фишинговым окном, чтобы похитить данные, используемые пользователем для мобильного банкинга. Он также перекрывает окно приложения Google Play Store с целью похищения данных кредитной карты.

«Данная модификация троянца Trojan-Banker.AndroidOS.Gugi.c просит пользователя предоставить необходимое ей разрешение на отображение своего окна поверх других. Затем она блокирует экран устройства, требуя доступ ко все более опасным действиям», — пишет эксперт по мобильным угрозам Роман Унучек.
Когда троян только начал свою работу, он отображает окно с текстом: «Для работы с графикой и окнами приложению необходимы права» и единственной кнопкой: «Предоставить».

Согласившись и нажав на эту кнопку, пользователь увидит еще одно диалоговое окно, разрешающее перекрытие приложений («рисование поверх других приложений»). Как только пользователь позволит Gugi делать и это, вредонос фактически заблокирует устройство и будет показывать свое окно поверх любых других окон и диалогов.

Троян не оставляет жертве выбора, выводя окно с единственной кнопкой «Активировать». Как только пользователь нажимает на эту кнопку, он получает серию запросов на получение всех необходимых троянцу прав. Пользователь не может вернуться в главное меню, пока не даст согласие на все запросы. Среди прочего, Gugi запросит и права администратора устройства. Они необходимы ему для самозащиты, поскольку после получения привилегий админа, пользователю будет гораздо труднее удалить малварь.

Динамические запросы разрешений появились в Android 6 как новый механизм защиты. Более ранние версии операционной системы запрашивали все нужные разрешения для приложения непосредственно в момент установки. Однако на Android 6 система будет запрашивать у пользователя разрешения на выполнение опасных действий, таких как отправка SMS или совершение звонков, при первой попытке совершения таких действий, либо позволит приложению запрашивать их в любое время. Этим и пользуется Gugi.

Малварь буквально берет пользователя измором. Gugi будет запрашивать разрешения до тех пор, пока жертва не согласится. Если троян не получит всех разрешений, необходимых ему для работы, он полностью заблокирует зараженное устройство. Единственное, что останется пользователю, это будет перезагрузить устройство в безопасном режиме и попытаться удалить вредоноса.

«Если не считать способности обходить механизмы защиты Android 6 и использовать протокол Websocket, Gugi представляет собой типичного банковского троянца. Он перекрывает приложения фишинговыми окнами с целью похищения данных, используемых для мобильного банкинга, а также данных кредитных карт. Кроме того, он похищает SMS, контакты, совершает USSD-запросы и может отправлять SMS по команде управляющего сервера», — заключает Роман Унучек.

Источник: https://xakep.ru/2016/09/08/gugi-banker/

Раздел: