A Kaspersky Lab szakértői bejelentették, hogy a Gugi trójai bankvírus olyan módosított változatát fedezték fel, amely meg tudja kerülni az Android 6 biztonsági rendszerét. A módosított trójai arra kényszeríti a felhasználókat, hogy engedélyezzék valódi applikációk felülírását, sms-üzenetek küldését és megtekintését, valamint telefonhívások indítását. Pszichológiai manipuláció útján terjed, és a kiberbűnözők egyre gyakrabban használják: az áprilistól augusztusig terjedő időszakban tízszeresére nőtt a Gugi áldozatainak száma.

Módosították, hogy működjön

A Gugi trójai vírus célja, hogy ellopja a felhasználók banki azonosítóit vagy hitelkártyaadatait úgy, hogy felülírja a valódi bankapplikációt vagy a Google Play Store applikációt egy adathalászó applikációval. 2015-ben adták ki az Android operációs rendszer 6. verzióját, amely új biztonsági rendszerrel védekezett az ilyen támadásokkal szemben. Most már az applikációk engedélyt kell hogy kérjenek a felhasználótól ahhoz, hogy más applikációkat felülírjanak és, hogy sms-üzenetet küldjenek vagy telefonhívást indítsanak.

A módosított trójai pszichológiai manipuláció segítségével fertőzi meg a mobilkészülékeket általában egy spam sms-üzenettel, amely arra bátorítja a felhasználót, hogy kattintson egy rosszindulatú linkre. Miután a felhasználó akaratlanul telepítette a vírust, a trójai megszerzi a szükséges hozzáférési jogokat. Végül a vírus a következő kiírást jeleníti meg a felhasználó képernyőjén: „további hozzáférési jogok szükségesek a grafikákkal és ablakokkal való munkához”. Csak egy gomb van: „engedélyez”.

Amikor a felhasználók rákattintanak, a készülék megkérdezi, hogy engedélyezik-e az applikációk felülírását. Az engedélyezés után a trójai egy üzenettel blokkolja a készülék képernyőjét, ami „trójai készülék adminisztrátori” jogokat kér, majd aztán sms-üzenetek küldéséhez és megtekintéséhez, valamint telefonhívások indításához kér engedélyt.

Ha a trójai nem kapja meg az összes szükséges engedélyt, teljesen blokkolja a fertőzött készüléket. Ha ez történik, a felhasználónak biztonságos üzemmódban kell újraindítani a készüléket, és eltávolítani a trójait, habár ez nehezebb, ha a trójai már megszerezte a készülék adminisztrátori jogokat.

Ezektől a biztonsági kiskapuktól eltekintve a Gugi egy tipikus trójai bankvírus: pénzügyi adatokat, sms-üzeneteket és kontaktokat lop, valamint az irányító szerver utasításai szerint sms-üzeneteket is küldhet. Eddig a támadások 93 %-a Oroszországban történt, de az áldozatok száma egyre nő. Augusztusban tízszer több áldozat volt, mint áprilisban.

Van mód a védekezésre

„A kiberbiztonság egy véget nem érő verseny. Az operációs rendszerek, mint az Android, folyamatosan frissítik biztonsági rendszereiket, hogy megnehezítsék a kiberbűnözők életét és biztonságosabb internetet teremtsenek a felhasználóknak; a kiberbűnözők állandóan a kiskapukat keresik; és a biztonsági ipar arra törekszik, hogy ez ne sikerüljön nekik. A módosított Gugi trójai vírus felfedezése jó példa erre.” – nyilatkozta Roman Unucheck, a Kaspersky Lab víruselemzője.

A Kaspersky Lab a következő tanácsokat adja a Gugi trójai és más vírusokkal szemben:

• ne adja meg automatikusan a hozzáférési jogokat és engedélyeket, amikor egy applikáció ezt kéri – gondolja végig, mit is kér pontosan, és miért kérheti ezt
• telepítsen vírusírtót az összes készülékére, és rendszeresen frissítse az operációs rendszert
• ne kattintson olyan linkre, amit ismeretlen emberektől kap, vagy ami ismerősei váratlan és szokatlan üzeneteiben szerepel
• mindig legyen elővigyázatos böngészés közben: ha egy honlap csak egy kicsit is gyanúsnak tűnik, valószínűleg okkal az