Банкер Gugi обходит защиту Android 6

Тема в разделе "Новости мобильных технологий", создана пользователем akok, 10 сен 2016.

  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Зловред, детектируемый защитными решениями ИБ-компании с вердиктом Trojan-Banker.AndroidOS.Gugi, объявился на радарах исследователей в декабре прошлого года; модификация, о которой идет речь, была обнаружена в минувшем июне.

    По данным «Лаборатории», распространяется Gugi, как правило, через спамовые SMS-сообщения со ссылкой. Этот банкер атакует в основном россиян, на долю которых на момент исследования приходилось более 93% уникальных атак.

    В блоге Securelist Роман Унучек также отметил, что минувшим летом активность троянца резко возросла: «В августе атакованных Gugi пользователей было в три раза больше, чем в июле, и почти в 20 раз больше, чем в июне 2016 года».

    По словам Унучека, в целях повышения безопасности в Android 6 была усовершенствована система ограничения прав для приложений. Во-первых, программы, устанавливаемые под этой версией ОС, должны запрашивать разрешение на отображение своего окна поверх других (ранее они могли перекрывать их автоматически).

    Во-вторых, расширение прав на Android 6 приложения могут просить в ходе исполнения, динамически (ранее все разрешения выдавались сразу, при установке). Эти новые механизмы защиты Gugi и старается обойти. Прежде всего он просит у пользователя разрешение на перекрытие других окон — это нужно зловреду для отображения фишинговой формы при заходе жертвы в систему мобильного банкинга или на Google Play, для похищения учетных данных или, в последнем случае, данных кредитки.

    «Первое, с чем сталкивается зараженный пользователь, — это окно с текстом: «Для работы с графикой и окнами приложению необходимы права» и одной кнопкой «Предоставить», — рассказывает Унучек. — Нажав на эту кнопку, пользователь видит диалоговое окно, разрешающее перекрытие приложений». Получив разрешение с помощью такой уловки, троянец блокирует экран и начинает выдвигать другие требования. Для начала он запрашивает права администратора (без них его легче удалить), предлагая пользователю единственную кнопку — «Активировать». Если пользователь ее нажмет, последует серия новых запросов. По свидетельству экспертов, Gugi не позволит жертве вернуться в главное меню, пока та не выдаст все разрешения. Добившись своего, банкер получает возможность по команде воровать SMS и контакты, подавать USSD-запросы, совершать звонки, отправлять SMS-сообщения.

    [​IMG]

    Окно Trojan-Banker.AndroidOS.Gugi.c, блокирующее зараженное устройство до получения необходимых прав

    Отказы провоцируют Gugi на более решительные действия. «Если в первый раз пользователь отказался от предоставления троянцу этих прав, то во второй раз будет возможность отключить эти запросы, — пишет Унучек. — Но если троянец не получит всех разрешений, которые ему нужны, он полностью заблокирует зараженное устройство. В таком случае единственным выходом для пользователя будет перезагрузить устройство в безопасном режиме и попытаться удалить троянца».

    Новости и Обзоры
     
    orderman, Kиpилл и SNS-amigo нравится это.

Поделиться этой страницей