הטרויאני לבנקאות Gugi מערים על מנגנוני האבטחה של האנדרואיד 6 החדש
מאת:
מערכת Telecom News, 6.9.16, 18:44
מומלץ למשתמשי אנדרואיד בסמארטפונים ובטאבלטים להיות מודעים לטרויאני Gugi המשודרג ולהגן על המכשירים מפניו.
מומחי מעבדת קספרסקי חשפו גרסה של הטרויאני לבנקאות
Gugi, שמסוגלת לעקוף את מאפייני האבטחה של אנדרואיד 6 החדש, שנועדו לחסום מתקפות פישינג ותוכנות כופר. הטרויאני המשודרג מכריח משתמשים להעניק לו את ההרשאות לפעול מעל אפליקציות רגילות, לשלוח ולצפות ב-
SMS, לבצע שיחות ועוד. הוא מופץ דרך הנדסה חברתית, והשימוש בו ע"י עברייני סייבר צומח במהירות: בתקופה שבין אפריל 2016 ועד תחילת אוגוסט 2016 חל גידול של פי 10 במספר הקורבנות שלו.
המטרה של הטרויאני
Gugi היא לגנוב הרשאות של משתמשים לבנקאות ניידת באמצעות יצירת כיסוי לאפליקציות רגילות לבנקאות עם אפליקציית פישינג, ולכידת פרטי כרטיס אשראי באמצעות כיסוי על אפליקציות גוגל פליי.
לקראת סוף 2015, הושקה גרסה 6 של מערכת ההפעלה אנדרואיד עם מאפיינים חדשים, שנועדו במיוחד לחסום התקפות כאלו. בין היתר, אפליקציות נזקקות כעת לאישור משתמש כדי לפעול בשכבה מעל אפליקציות אחרות ולבקש אישור עבור פעולות כגון שליחת
SMS וביצוע שיחות בפעם הראשונה.
מומחי הלוחמה בקוד הזדוני חשפו גרסה עדכנית של הטרויאני
Gugi היכולה לעקוף בהצלחה את 2 המאפיינים החדשים.
ההדבקה הראשונית של הטרויאני המעודכן מתרחשת דרך הנדסה חברתית, בדרך כלל דרך
SMS ספאם המעודד את המשתמש להקליק על קישור זדוני. ברגע שהותקן על המכשיר, הטרויאני יוצא למשימה להשגת ההרשאות הנדרשות. כאשר הוא מוכן לפעולה, הקוד הזדוני מציג את ההודעה הבאה על מסך המשתמש: "נדרשות הרשאות נוספות כדי לעבוד עם גרפיקה וחלונות". קיים בהודעה רק כפתור אחד
- provide.
כאשר משתמש לוחץ על הכפתור מוצג לו מסך המבקש ממנו לאשר הפעלה של שכבת אפליקציות. לאחר קבלת האישור, הטרויאני יחסום את מסך המכשיר עם הודעה המבקשת הרשאות עבור "
Trojan Device Administrator", ולאחר מכן הוא מבקש אישור לשלוח ולצפות ב-
SMS ולבצע שיחות.
אם הטרויאני לא מקבל את כל ההרשאות, שהוא זקוק להן, הוא יחסום לחלוטין את המכשיר הנגוע. באם הדבר מתרחש, האפשרות היחידה של המשתמש היא לאתחל את המכשיר במצב בטוח ולנסות לבטל את התקנת הטרויאני, פעולה שהופכת לקשה יותר אם הטרויאני כבר השיג הרשאת "
Trojan Device Administrator".
מלבד היכולת לעקוף את מנגנוני האבטחה האלה ומספר מאפיינים נוספים,
Gugi הוא טרויאני נפוץ לבנקאות: עם יכולת לגניבת הרשאות פיננסיות,
SMS ואנשי קשר, ביצוע בקשות
USSD ושליחת
SMS בהתאם להוראות משרת הפיקוד. עד היום, 93% מהמשתמשים, שהותקפו ע"י
Gugi נמצאו ברוסיה, אבל מספר הקורבנות נמצא בעליה. כאמור, במחצית הראשונה של אוגוסט 2016 היו פי 10 קורבנות מאשר באפריל 2016.
מומלץ למשתמשי אנדרואיד לנקוט בצעדים הבאים כדי להגן על עצמם מפני הטרויאני
Gugi ואיומי קוד זדוני אחרים:
אל תסכים באופן אוטומטי למסור הרשאות כאשר אפליקציה מבקשת זאת ממך - חשוב על מה מבקשים ממך ומדוע מבקשים זאת.
התקן פתרון נגד קוד זדוני בכל המכשירים ושמור על מערכת ההפעלה מעודכנת.
הימנע מלחיצה על קישורים בהודעות מאנשים, שאתה לא מכיר, או בהודעות בלתי צפויות מאנשים שאתה מכיר.
היזהר בכל עת כאשר אתה מבקר באתרים, אם משהו נראה אפילו מעט חשוד, זה כנראה באמת כך.
משפחת
Trojan-Banker.AndroidOS.Gugi מוכרת מאז דצמבר 2015, כשהעדכון
Trojan-Banker.AndroidOS.Gugi.c נחשף לראשונה ביוני 2016.
רומן אונצ'ק, אנליסט קוד זדוני בכיר, מעבדת קספרסקי: "אבטחת סייבר היא מירוץ אינסופי. מערכות הפעלה כגון אנדרואיד ממשיכות לעדכן את מאפייני האבטחה שלהן כדי להקשות על עברייני הסייבר ולהגן על הלקוחות. עברייני סייבר הם בלתי נלאים בניסיון שלהם למצוא דרכים לעקוף זאת. תעשיית האבטחה עושה הכל כדי לגרום להם להיכשל. החשיפה של
Gugi החדש היא דוגמא טובה לכך. באמצעות חשיפת האיום, אנו יכולים לנטרל אותו, ולסייע להגן על משתמשים ועל המכשירים והנתונים שלהם בטוחים".
הדו"ח המפורט –
כאן.