Описание вредоносного ПО

Банковский троянец Gugi учится обходить защиту ОС Android 6

Почти в каждом обновлении операционной системы Android появляются новые защитные механизмы, усложняющие жизнь киберпреступникам. А злоумышленники, конечно же, стараются их обходить.

Мы обнаружили новую модификацию мобильного банковского троянца Trojan-Banker.AndroidOS.Gugi.c, способную обходить два защитных механизма, появившихся в Android 6: запрос приложением разрешения на отображение своего окна поверх других и динамические разрешения на совершение опасных действий, таких как звонки или SMS. Данная модификация использует не уязвимости, а социальную инженерию.

Первичное заражение

Троянец Gugi распространяется, главным образом, через SMS-спам со ссылкой, по которой пользователь попадает на фишинговую страницу с текстом: «Уважаемый пользователь, вам пришла ммс-фотография! Посмотреть ее вы можете по ссылке ниже».

Банковский троянец Gugi учится обходить защиту Android 6

Нажав на ссылку, пользователь загружает троянца Gugi на свое Android-устройство.

Обход механизмов защиты

Для защиты пользователей от последствий фишинга и вредоносных атак в системе Android 6 приложениям необходимо запрашивать разрешение на отображение своих окон поверх других. В более ранних версия операционной системы приложения могли перекрывать другие окна автоматически.

Главная цель троянца – перекрыть банковское приложение фишинговым окном, чтобы похитить данные, используемые пользователем для мобильного банкинга. Он также перекрывает окно приложения Google Play Store с целью похищения данных кредитной карты.

Данная модификация троянца Trojan-Banker.AndroidOS.Gugi.c просит пользователя предоставить необходимое ей разрешение на отображение своего окна поверх других. Затем она блокирует экран устройства, требуя доступ ко все более опасным действиям.

Первое, с чем сталкивается зараженный пользователь, это окно с текстом: «Для работы с графикой и окнами приложению необходимы права» и одной кнопкой: «Предоставить».

Банковский троянец Gugi учится обходить защиту Android 6

Нажав на эту кнопку, пользователь видит диалоговое окно, разрешающее перекрытие приложений («рисование поверх других приложений»).

Банковский троянец Gugi учится обходить защиту Android 6

Системный запрос на разрешение троянцу Trojan-Banker.AndroidOS.Gugi.c перекрывать другие приложения

Но как только пользователь даст Gugi такое разрешение, троянец заблокирует устройство и будет показывать свое окно поверх любых других окон и диалогов.

Банковский троянец Gugi учится обходить защиту Android 6

Окно Trojan-Banker.AndroidOS.Gugi.c, блокирующее зараженное устройство до получения необходимых прав

Троянец не оставляет пользователю выбора, выводя окно с единственной кнопкой «Активировать». Как только пользователь нажимает эту кнопку, он получает серию запросов на получение всех необходимых троянцу прав. Пользователь не может вернуться в главное меню, пока не даст согласие на все запросы.

Например, после первого нажатия на кнопку, троянец запросит права администратора устройства. Они необходимы ему для самозащиты, поскольку с такими правами пользователю будет гораздо труднее его удалить.

Банковский троянец Gugi учится обходить защиту Android 6

Успешно получив права администратора устройства, троянец выдает следующий запрос. На этот раз он запрашивает у пользователя разрешение на отправку и просмотр SMS и на совершение звонков.

Интересно, что возможность динамических запросов разрешений в Android 6 была представлена как новый механизм защиты. Более ранние версии операционной системы показывали разрешения приложения только в момент установки. Но, начиная с Android 6, система будет запрашивать у пользователя разрешения на выполнение опасных действий, таких как отправка SMS или совершение звонков, при первой попытке совершения таких действий, либо позволит приложению запрашивать их в любое время – и это как раз то, что делает троянец Gugi.

Банковский троянец Gugi учится обходить защиту Android 6

Системный запрос на динамическое разрешение

Троянец будет продолжать запрашивать у пользователя каждое разрешение, пока не получит его. Если первый раз пользователь отказался от предоставления троянцу этих прав, то во второй раз будет возможность отключить эти запросы. Но если троянец не получит всех разрешений, которые ему нужны, он полностью заблокирует зараженное устройство. В таком случае единственным выходом для пользователя будет перезагрузить устройство в безопасном режиме и попытаться удалить троянца.

Банковский троянец Gugi учится обходить защиту Android 6

Повторный системный запрос динамического разрешения

Стандартный банковский троянец

Если не считать способности обходить механизмы защиты Android 6 и использовать протокол Websocket, Gugi представляет собой типичного банковского троянца. Он перекрывает приложения фишинговыми окнами с целью похищения данных, используемых для мобильного банкинга, а также данных кредитных карт. Кроме того, он похищает SMS, контакты, совершает USSD-запросы и может отправлять SMS по команде управляющего сервера.

Семейство Trojan-Banker.AndroidOS.Gugi известно с декабря 2015 года, модификация Trojan-Banker.AndroidOS.Gugi.c была обнаружена в июне 2016.

Профиль жертвы

Троянец Gugi атакует, в основном, пользователей из России: здесь находятся свыше 93% пользователей, атакованных на момент исследования. Сейчас этот троянец на подъеме – в августе атакованных Gugi пользователей было в 3 раза больше, чем в июле, и почти в 20 раз больше, чем в июне 2016 года.

Банковский троянец Gugi учится обходить защиту Android 6

Количество уникальных пользователей, атакованных Trojan-Banker.AndroidOS.Gugi.

В скором времени мы опубликуем подробный отчет о семействе зловредов Trojan-Banker.AndroidOS.Gugi, их функционале и том, как они используют протокол WebSocket.

Все модификации семейства Trojan-Banker.AndroidOS.Gugi детектируются всеми продуктами «Лаборатории Касперского».

Банковский троянец Gugi учится обходить защиту ОС Android 6

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике