Kaspersky Lab ha descubierto una modificación del troyano bancario Gugi capaz de adquirir derechos sobre aplicaciones, enviar y ver SMS o hacer llamadas.
Este malware se extiende a través de ingeniería social y su uso por los cibercriminales ha provocado su rápido crecimiento: entre abril y principios de agosto de este año, se ha multiplicado por diez el número de víctimas.
Los expertos de Kaspersky Lab han descubierto una modificación en el troyano bancario Gugi, capaz de eludir las características de seguridad del nuevo Android 6 diseñado para bloquear el phishing y los ataques de ransomware. Este troyano modificado tiene la capacidad de adquirir derechos sobre aplicaciones, enviar y ver SMS o hacer llamadas.
El troyano Gugi tiene la capacidad de robar las credenciales bancarias de los dispositivos de los usuarios con la superposición de ventanas fraudulentas a las de aplicaciones verdaderas mediante phishing. Además, es capaz de apoderarse de los detalles de las tarjetas de crédito superponiéndose a la aplicación de la tienda de Google Play. A finales de 2015, se lanzó la versión 6 de Android con nuevas características de seguridad diseñadas específicamente para bloquear estos ataques. Entre las novedades, ahora las aplicaciones necesitan tener permisos de usuarios para superponer otras aplicaciones, además de pedir aprobación para determinadas acciones como enviar mensajes o hacer llamadas cuando se hacen por primera vez.
La infección inicial con este troyano modificado tiene lugar a través de ingeniería social, normalmente mediante mensajes spam que animan a los usuarios a hacer clic en enlaces maliciosos. Una vez que está instalado en el dispositivo, el troyano consigue los derechos de usuarios necesarios. Cuando ya lo ha conseguido, el malware se activa y hace aparecer una ventana en la pantalla del dispositivo del usuario con el siguiente mensaje: “Se requieren derechos adicionales para el funcionamiento de gráficos y ventanas”. Únicamente, aparece un botón para pulsar con la palabra “aceptar”.
Cuando el usuario pulsa este botón, aparece una nueva ventana en la que se pide autorizar la superposición de la aplicación. Tras recibir el permiso, el troyano bloquea la pantalla del dispositivo con un mensaje pidiendo derechos de administrador del dispositivo. Posteriormente pide permiso para enviar y ver SMS y realizar llamadas.
Si el troyano no recibe todos los permisos necesarios, bloqueará completamente el dispositivo infectado. Si esto ocurre, la única opción que tiene el usuario es reiniciar el dispositivo en modo seguro y tratar de desinstalar el troyano, actividad que se hace complicada si el troyano ha obtenido los derechos de administrador.
Al margen de estas características, Gugi es un troyano bancario común: roba credenciales financieras, mensajes y contactos, realiza solicitudes USSD y envía SMS según el servidor de comando. Hasta la fecha, el 93% de los usuarios atacados por el troyano Gugi pertenecían a Rusia, pero el número de víctimas sigue aumentando. En la primera mitad de agosto de 2016, el número de víctimas se multiplicó por diez respecto al mes de abril del mismo año.
Kaspersky Lab recomienda a los usuarios de Android tener en cuenta los siguientes consejos para protegerse del troyano Gugi y de otras amenazas:
• No aceptes automáticamente los derechos de permiso cuando una aplicación lo pida. Primero piensa qué se está pidiendo y por qué solicita eso.
• Instala una solución antimalware en todos los dispositivos y mantén el sistema operativo actualizado.
• Evita hacer clic en enlaces de mensajes de gente que no conoces o en mensajes que no esperas.
• Ten cuidado en todo momento cuando visitas páginas web: si algo parece sospechoso, seguramente lo sea.
Se tiene conocimiento de la familia Trojan-Banker.AndroidOS.Gugi desde diciembre de 2015. La modificación Trojan-Banker.AndroidOS.Gugi.c fue descubierta por primera vez en junio de 2016.
Del Blog de seguridad de Karspesky
Deja un comentario