[Kaspersky] A Kaspersky Lab szakértői a Gugi trójai bankvírus olyan módosított változatát fedezték fel, amely meg tudja kerülni az új Android 6 biztonsági rendszerét. A módosított trójai arra kényszeríti a felhasználókat, hogy engedélyezzék valódi applikációk felülírását, SMS üzenetek küldését és megtekintését valamint telefonhívások indítását. Pszichológiai manipuláció útján terjed és a kiberbűnözők egyre gyakrabban használják: az áprilistól augusztusig terjedő időszakban tízszeresére nőtt a Gugi áldozatainak száma.
A Gugi trójai vírus célja, hogy ellopja a felhasználók banki azonosítóit vagy hitelkártya adatait úgy, hogy felülírja a valódi bankapplikációt vagy a Google Play Store applikációt egy adathalászó applikációval. 2015-ben adták ki az Android operációs rendszer 6. verzióját, amely új biztonsági rendszerrel védekezett az ilyen támadásokkal szemben. Mostmár az applikációk engedélyt kell, hogy kérjenek a felhasználótól ahhoz, hogy más applikációkat felülírjanak és, hogy SMS üzenetet küldjenek vagy telefonhívást indítsanak.
A Kaspersky Lab vírusszakértői a Gugi trójai vírus olyan módosított változatát fedezték fel, amely sikeresen meg tudja kerülni az új biztonsági rendszert. A módosított trójai pszichológiai manipuláció segítségével fertőzi meg a mobilkészülékeket általában egy spam SMS üzenettel, amely arra bátorítja a felhasználót, hogy kattintson egy rosszindulatú linkre. Miután a felhasználó akaratlanul telepítette a vírust, a trójai megszerzi a szükséges hozzáférési jogokat. Végül a vírus a következő kiírást jeleníti meg a felhasználó képernyőjén: "további hozzáférési jogok szükségesek a grafikákkal és ablakokkal való munkához". Csak egy gomb van: "engedélyez".
Amikor a felhasználók rákattintanak, a készülék megkérdezi, hogy engedélyezik-e az applikációk felülírását. Az engedélyezés után a trójai egy üzenettel blokkolja a készülék képernyőjét, ami "trójai készülék adminisztrátori" jogokat kér, majd aztán SMS üzenetek küldéséhez és megtekintéséhez valamint telefonhívások indításához kér engedélyt. Ha a trójai nem kapja meg az összes szükséges engedélyt, teljesen blokkolja a fertőzött készüléket. Ha ez történik, a felhasználónak biztonságos üzemmódban kell újraindítani a készüléket és eltávolítani a trójait, habár ez nehezebb, ha a trójai már megszerezte a készülék adminisztrátori jogokat.
Ezektől a biztonsági kiskapuktól eltekintve a Gugi egy tipikus trójai bankvírus: pénzügyi adatokat, SMS üzeneteket és kontaktokat lop valamint az irányító szerver utasításai szerint SMS üzeneteket is küldhet. Eddig a támadások 93 %-a Oroszországban történt, de az áldozatok száma egyre nő. Augusztusban tízszer több áldozat volt, mint áprilisban.
"A kiberbiztonság egy végetnemérő verseny. Az operációs rendszerek, mint az Android folyamatosan frissítik biztonsági rendszereiket, hogy megnehezítsék a kiberbűnözők életét és biztonságosabb internetet teremtsenek a felhasználóknak; a kiberbűnözők állandóan a kiskapukat keresik; és a biztonsági ipar arra törekszik, hogy ez nem sikerüljön nekik. A módosított Gugi trójai vírus felfedezése jó példa erre. A feltárással semlegesítjük a veszélyt és segítünk megvédeni az embereket, készülékeiket és adataikat" - mondta Roman Unucheck, a Kaspersky Lab víruselemzője.
A Kaspersky Lab a következő tanácsokat adja a Gugi trójai és más vírusokkal szemben:
- Ne adja meg automatikusan a hozzáférési jogokat és engedélyeket, amikor egy applikáció ezt kéri - gondolja végig, mit is kér pontosan, és miért kérheti ezt.
- Telepítsen vírusírtót az összes készülékére és rendszeresen frissítse az operációs rendszert.
- Ne kattintson olyan linkre, amit ismeretlen emberektől kap, vagy ami ismerősei váratlan és szokatlan üzeneteiben szerepel.
- Mindig legyen elővigyázatos böngészés közben: ha egy honlap csak egy kicsit is gyanúsnak tűnik, valószínűleg okkal az.
A Trojan-Banker.AndroidOS.Gugi víruscsalád 2015 decemberében jelent meg, a módosított Trojan-Banker.AndroidOS.Gugi.c változatot 2016 júniusában fedezték fel. A Kaspersky Lab termékei a Gugi trójai víruscsalád összes változatát észlelik.