Bančni trojanec Gugi prelisičil varnostne funkcije operacijskega sistema Android 6

12.09.2016
Objavil: Thomas Bergant

Strokovnjaki Kaspersky Laba so odkrili prilagojen bančni trojanec Gugi, ki lahko zaobide varnostne funkcije novega operacijskega sistema Android 6, namenjene preprečevanju ribarjenja in napadom izsiljevalske programske opreme.

Prilagojen trojanec od uporabnikov izsili pravice, ki mu denimo omogočajo prekrivanje uradnih aplikacij, pošiljanje in ogled SMS-sporočil in klicanje. Razširja se prek tehnik socialnega inženiringa, njegova uporaba med kibernetskimi kriminalci pa strmo narašča: število žrtev se je med aprilom in začetkom avgusta 2016 desetkrat povečalo.

Bančni trojanec Gugi je namenjen kraji uporabnikovih podatkov za mobilno bančništvo prek prekrivanja uradnih aplikacij z aplikacijami za ribarjenje ter izkoriščanja podatkov o plačilnih karticah prek prekrivanja aplikacije spletne trgovine Google Play. Konec 2015 je bila izdana različica operacijskega sistema Android 6 z novimi varnostnimi funkcijami, posebej namenjenimi blokiranju tovrstnih napadov. Med drugim aplikacije sedaj potrebujejo uporabnikovo dovoljenje za prekrivanje drugih aplikacij in morajo zaprositi za potrditev določenega dejanja, kot je pošiljanje SMS-sporočil in klicanje, ko želijo aktivnost izvesti prvič. Strokovnjaki Kaspersky Laba za boj proti zlonamerni programski opremi so odkrili prilagoditev trojanca Gugi, ki lahko uspešno zaobide obe varnostni funkciji.

Prvotna okužba s prilagojenim bančnim trojancem se zgodi prek tehnik socialnega inženiringa, običajno z nezaželenim SMS-sporočilom, ki uporabnika spodbudi h kliku na zlonamerno povezavo. Ko je trojanec nameščen na napravi, pridobi potrebne pravice za izvajanje aktivnosti. Zlonamerna programska oprema na uporabnikovem zaslonu izpiše sporočilo, ki od uporabnika terja več pravic: »additional rights needed to work with graphics and windows«. Ob tem lahko uporabnik izbere samo možnost potrditve: »provide.«
Ko uporabniki izberejo ponujeno opcijo, se na zaslonu prikaže sporočilo, ki od njih zahteva potrditev prekrivanja aplikacij (angl. app overlay). Ko trojanec prejme tudi to dovoljenje, zaklene zaslon s sporočilom, ki zahteva administrativne pravice (Trojan Device Administrator) in nato še dovoljenje za pošiljanje in ogled SMS-sporočil ter klicanje.

V primeru, da trojanec ne prejme vseh potrebnih dovoljenj, popolnoma blokira okuženo naprav. Če se to zgodi, uporabniku preostane le ponovni zagon naprave v varnem načinu in poskus odstranitve trojanca. Slednje pa je še težje, ko je trojanec že pridobil administrativne pravice.
Poleg opisanih zmožnosti, s katerimi trojanec zaobide varnostne funkcije, ter še nekaterih drugih lastnosti, je Gugi običajen bančni trojanec. Lahko krade podatke za dostop do spletnega bančništva, dostopa do SMS-sporočil in kontaktov, omogoča nestrukturirane dopolnilne podatkovne storitve (ang. Unstructured Supplementary Service Data) in pošilja SMS-sporočila po navodilih ukaznega strežnika. Doslej je bilo med žrtvami bančnega trojanca 93 odstotkov uporabnikov iz Rusije. Število žrtev po podatkih strmo narašča: v prvi polovici avgusta 2016 je bilo desetkrat toliko žrtev kot v aprilu 2016.

»Kibernetska varnost je nikoli zaključena tekma. Operacijski sistemi kot je Android nenehno posodabljajo svoje varnostne funkcije. S tam na eni strani otežujejo delovanje kibernetskih kriminalcev in zagotavljajo večjo varnost za uporabnike na drugi. Kibernetski kriminalci so neusmiljeni pri svojih prizadevanjih, da bi našli načine okoli preprek, prav tako pa varnostna industrija skrbi, da jim to ne bi uspelo. Dober primer tega je odkritje prilagojenega trojanca Gugi. Z razkritjem te grožnje lahko slednjo nevtraliziramo in pomagamo uporabnikom, njihovim napravam in podatkom ostati zaščiteni,« pojasnjuje Roman Unucheck, starejši analitik zlonamerne programske opreme pri Kaspersky Labu.

Kaspersky Lab uporabnikom naprav z operacijskim sistemom Android svetuje naslednje korake za zaščito pred trojancem Gugi in drugimi grožnjami zlonamerne programske opreme:
• Ne omogočite pravic in dovoljenj takoj , ko vas aplikacije k temu nagovarjajo. Vzemite si čas in razmislite, kaj pravzaprav od vas zahtevajo in zakaj.
• Namestite ustrezno varnostno zaščito pred zlonamerno programsko opremo na vse naprave in poskrbite za najnovejše posodobitve operacijskega sistema.
• Izogibajte se klikom na povezave v sporočilih ljudi, ki jih ne poznate, ali v nepričakovanih sporočilih poznanih ljudi.
• Vselej bodite previdni pri obisku spletnih strani. V primeru, da zaznate nekaj sumljivega, je zelo verjetno, da je vaš sum utemeljen.

Družina trojancev »Trojan-Banker.AndroidOS.Gugi« je poznana že od decembra 2015, nova prilagoditev »Trojan-Banker.AndroidOS.Gugi.c« pa je bila odkrita junija 2016. Varnostne rešitve Kaspersky Laba zaznajo vse prilagoditve v družini bančnega trojanca Gugi.

Več o tem, kako je trojanec Gugi zaobšel varnostne elemente operacijskega sistema Android 6, preverite v objavi na Securelist.com.