Stručnjaci iz kompanije Kaspersky Lab nedavno su otkrili modifikaciju Gugi bankarskog trojanca, koji ima sposobnost da zaobiđe bezbednosne elemente na Android 6 operativnom sistemu, kreirane sa ciljem da blokiraju „fišing“ i ransomware napade. Modifikovan trojan virus „tera“ korisnike da mu daju pravo da zameni prave aplikacije, šalje i gleda SMS poruke, pravi pozive i izvršava druge maliciozne radnje. Kriminalci distribuiraju virus koristeći tehniku socijalnog inženjeringa, a njegova rasporostranjenost raste velikom brzinom: u periodu između aprila i početka avgusta 2016. godine, broj žrtava ovog virusa povećao se deset puta.
Cilj Gugi trojanca jeste da ukrade korisničke podatke sa bankovnih računa tako što će zameniti prave bankarske aplikacije sa „fišing“ aplikacijama. Krajem 2015. godine, puštena je u rad nova verzija Android operativnog sistema (Android 6) koja sadrži određene bezbednosne elemente koji blokiraju takve napade. Između ostalog, aplikacijama je sada neophodno odobrenje korisnika kako bi mogle da kontrolišu druge aplikacije, kao i za aktivnosti kao što je slanje SMS poruka i pravljenje poziva.
Međutim, stručnjaci za borbu protiv malvera iz kompanije Kaspersky Lab detektovali su modifikaciju Gugi bankarskog trojanca koja uspešno može da zaobiđe ove nove bezbednosne elemente.
Početna infekcija modifikovanim trojan virusom sprovodi se pomoću tehnike socijalnog inženjeringa, obično uz pomoć spam SMS poruka koje podstiču korisnike da posete maliciozni link. Nakon što je instaliran na uređaju, trojan virus pokušava da dobije pristupna prava koja su mu neophodna za dalje inficiranje. Kada je spreman, malver prikazuje sledeće obaveštenje na korisničkom ekranu (na engleskom jeziku): „neophodna su dodatna prava kako biste mogli da nastavite da koristite telefon”, pri čemu postoji samo jedan taster na koji korisnik može da klikne, i na taj način dozvoli malveru da preuzme njegov telefon.
Kada korisnici kliknu na ovaj taster, prikazuje im se ekran koji traži od njih dozvolu za upravljanje aplikacijama. Nakon dobijanja ove dozvole, trojan virus će blokirati telefon uz poruku u kojoj traži „administratorsk prava“, kao i dozvolu da šalje i čita SMS poruke, kao i da pravi pozive.
Ako trojan virus ne dobije sve dozvole koje su mu neophodne, on će u potpunosti blokirati inficiran uređaj. Ako se to dogodi, jedina opcija za korisnika je da fabrički resetuje uređaj i pokuša da izbriše virus, međutim to je veoma teško ako je trojan virus prethodno dobio „administratorska prava“.
Osim sposobnosti da zaobiće nove bezbednosne elemente, Gugi je klasičan bankarski trojanac: on krade finansijske informacije, SMS poruke i kontakt podatke, pravi USSD zahteve i šalje SMS poruke u skladu sa zahtevima koji stižu sa komandnog servera. Do sada je 93 odsto korisnika koji su bili žrtve Gugi trojan virus bilo iz Rusije, ali je broj njegovih žrtava u konstantnom porastu. U prvoj polovini avgusta 2016. godine zabeleženo je deset puta više žrtava u poređenju sa aprilom 2016. godine.
„Svet sajber bezbednosti nikada ne miruje i verovatno se nikada neće ni smiriti. Operativni sistemi kao što je Android konstantno ažuriraju svoje bezbednosne tehnike kako bi otežali posao kriminalcima i obezbedili svoje korisnike. Međutim, sajber kriminalci ulažu velike napore kako bi zaobišli ove tehnologije, a bezbednosne kompanije konstantno rade na tome da ih spreče u njihovoj nameri. Otkriće modifikovanog Gugi trojan virusa je dobar primer koji ukazuje na to. Kada otkrijemo određenu pretnju, to znači da možemo da je neutrališemo i pomognemo korisnicima da sačuvaju svoje uređaje i informacije”, izjavio je Roman Unuček (Roman Unucheck), viši malver analitičar u kompaniji Kaspersky Lab.
Stručnjaci iz kompanije Kaspersky Lab savetuju Android korisnike da preduzmu sledeće mere kako bi se zaštitili od Gugi trojan virusa i drugih malver pretnji:
- Izbegavajte automatsko davanje prava i dozvola drugim aplikacijama – razmislite o tome šta aplikacija traži od vas i zbog čega.
- Instalirajte rešenje za borbu protiv malvera i redovno ažurirajte operativni sistem.
- Izbegavajte posećivanje linkova u porukama koje ste dobili od ljudi koje ne poznajete, ili neočekivanim porukama od poznanika i prijatelja.
- Uvek budite obazrivi kada posećujete veb stranice: ako nešto izgleda makar malo sumnjivo, postoji velika verovatnoća da zaista jeste.
Trojan-Banker.AndroidOS.Gugi porodica je poznata istraživačima od decembra 2015. godine, dok je modifikacija Trojan-Banker.AndroidOS.Gugi.c prvi put detektovana u junu 2016. godine. Proizvodi kompanije Kaspersky Lab detektuju sve modifikacije Gugi Trojan porodice.