11 sept 2016

Troyano bancario Gugi, saltea protección de Android 6 Marshmallow

El troyano bancario Gugi, cuyo nombre formal es Trojan-Banker.AndroidOS.Gugi.c, ha evolucionado para poder saltarse la protección de Android 6 Marshmallow, el penúltimo sistema operativo móvil de Google.

Gugi se propaga sobre todo a través de spam enviado por SMS que redirige a los usuarios a aplicaciones que simulan ser de bancos, teniendo como resultado un ataque de phishing. Con el fin de hacer más atractivo el SMS, este puede notificar al usuario sobre la recepción de alguna fotografía con el fin de picar la curiosidad de la víctima.

Para mejorar la protección frente a troyanos y ransomware, Android 6 Marshmallow introdujo un requerimiento para las aplicaciones que solicitan permisos, colocando su ventana siempre por encima de las demás aplicaciones. Las versiones anteriores de Android permitían superponer de forma automática otras aplicaciones, ofreciendo así más posibilidades de poder ejecutar cosas sin que el usuario se enterase.

La meta final de Gugi es la de colocar supuestas aplicaciones de bancos superpuestas que se dedican a robar las credenciales de los usuarios, realizando así un ataque de phishing. Para cumplir con éxito sus propósitos también superpone la aplicación de Google Play para robar los detalles de las tarjetas de crédito. Gugi hace uso de la característica de seguridad de Android 6 para superponer la ventana de concesión de permisos y forzar a la víctima para concederlos. Cómo se puede apreciar, este malware lo que hace es engañar al usuario, más que explotar alguna vulnerabilidad en sí.

Una vez infectado, Gugi bloquea el dispositivo y pide a la víctima “activar” todos los permisos que necesita de forma forzada, pudiendo estar entre ellos el administrador, lo que podría dificultar la desinstalación de las aplicaciones maliciosas introducidas por Gugi. Conseguida la activación del administrador, el malware pedirá permisos para enviar y leer llamadas y mensajes de SMS. Por otro lado, también es capaz de sacar provecho de otras de las características de seguridad introducidas en Android 6 Marshmallow, la concesión dinámica de permisos, haciendo que las aplicaciones vayan pidiendo permisos en el momento en que sean necesarios, en lugar de concederlos todos del tirón en el proceso de instalación.

Gugi es a fin de cuentas el típico troyano bancario dedicado a engañar al usuario para robarle sus credenciales. Su impacto está siendo mucho mayor en Rusia que en cualquier otra zona del mundo, ya que el país euroasiático acumula el 93% de las víctimas por este malware.

Fuente: Muy Seguridad | SecureList

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!