Casi todas las actualizaciones del sistema operativo Android incluyen medidas de seguridad para bloquear las acciones de los cibercriminales. Pero, por supuesto, los cibercriminales siempre tratan de superar estas barreras.
Hemos descubierto una nueva modificación del troyano bancario para teléfonos móviles Trojan-Banker.AndroidOS.Gugi.c, que puede evadir dos de las nuevas medidas de seguridad que se agregaron a Android 6: el permiso para superponer aplicaciones y las solicitudes de permiso dinámico para realizar actividades peligrosas dentro de la aplicación (como enviar mensajes SMS o realizar llamadas telefónicas). El programa malicioso no explota ninguna vulnerabilidad, sólo utiliza ingeniería social.
Infección inicial
El troyano Gugi se propaga mediante mensajes de texto que dicen: “Estimado usuario, ¡Usted ha recibido una foto por MMS! Puede verla si pulsa en el siguiente enlace” y que dirigen al usuario a páginas web fraudulentas
Esto inicia la descarga del troyano Gugi en el dispositivo Android del usuario.
Evasión de las medidas de seguridad
Para ayudar a proteger a los usuarios del impacto de los ataques de fraude (phishing) y chantaje (ransomware), Android 6 comenzó a exigir que las aplicaciones pidan permiso cuando quieran superponer sus ventanas a las de otras aplicaciones. Esto se podía hacer de forma automática en las versiones anteriores del sistema operativo.
La meta final del troyano es superponer ventanas fraudulentas a aplicaciones bancarias para robar las credenciales de acceso del usuario a los sistemas bancarios para móviles. También se superpone a la tienda de aplicaciones Google Play para robar datos de tarjetas de crédito.
La variante Trojan-Banker.AndroidOS.Gugi.c obliga a los usuarios a que le den el permiso de superposición que necesita. Después bloquea la pantalla y exige acceso a otras zonas de riesgo.
Primero presenta al usuario una ventana que dice: “Se requieren permisos adicionales para el funcionamiento de gráficos y ventanas”. Solo hay un botón que el usuario puede pulsar: “Otorgar”.
Al pulsar en el botón, el usuario ve una ventana de diálogo que autoriza la superposición de la aplicación (“mostrar sobre otras aplicaciones”)
Solicitud de permiso de Trojan-Banker.AndroidOS.Gugi.c para superponerse a otras aplicaciones
Pero tan pronto como el usuario otorga a Gugi permiso para superponerse, el troyano bloquea el dispositivo y muestra su ventana sobre cualquier otra ventana o diálogo.
Ventana de Trojan-Banker.AndroidOS.Gugi.c que bloquea el equipo hasta que recibe todos permisos que necesita
El usuario no tiene más opción que la que le ofrece el único botón de la ventana: “Activar”. Cuando el usuario presiona este botón, recibe una serie de solicitudes para conseguir todos los permisos que el troyano requiere. No puede volver al menú principal hasta haberlo hecho.
Por ejemplo, después haber pulsado en el primer botón, el troyano pide derechos de administrador del dispositivo. Esta es una forma de defensa, porque hace que sea mucho más difícil desinstalarlo.
Después de convertirse en administrador del dispositivo, el troyano hace otra solicitud. Esta vez, pide al usuario permiso para enviar y ver SMSs y realizar llamadas.
Es interesante que Android 6 haya introducido la capacidad de realizar solicitudes dinámicas como una nueva medida de seguridad.
Las versiones anteriores del sistema operativo sólo muestran permisos de la aplicación al momento de la instalación; pero a partir de Android 6, el sistema pide a los usuarios permiso para ejecutar acciones peligrosas –como enviar SMS o realizar llamadas– la primera vez que se lo intenta y además permite a las aplicaciones solicitarlo en cualquier otro momento… y esto es justo lo que hace esta variante de Gugi.
Solicitud de permiso dinámico
El troyano sigue enviando solicitudes al usuario hasta que éste las acepta. Si negara alguna, las siguientes solicitudes le ofrecen la opción de cerrar la solicitud. Si el troyano no recibe todos los permisos que requiere, bloquea el dispositivo por completo. La única opción que tiene el usuario en este caso es reiniciar el dispositivo en modo a prueba de errores y tratar de desinstalar el troyano.
Repetición de la solicitud de permisos dinámicos
Un troyano bancario común y corriente
Dejando de lado su capacidad de evadir las características de seguridad de Android 6 y su uso del protocolo Websocket, Gugi es un troyano bancario común y corriente. Superpone ventanas fraudulentas a las aplicaciones para robar credenciales de acceso a sistemas bancarios para móviles o datos de tarjetas de crédito. También roba SMS, contactos, realiza solicitudes USSD y envía SMS de acuerdo a órdenes que recibe de su servidor de Comando y Control.
La familia Trojan-Banker.AndroidOS.Gugi se conoce desde diciembre de 2015, y la variante Trojan-Banker.AndroidOS.Gugi.c se descubrió en junio de 2016.
Perfil de la víctima
El troyano Gugi ataca a usuarios en Rusia: más del 93% de los usuarios atacados hasta el momento se encuentran allí. Es uno de los troyanos más populares del momento: durante la primera mitad de agosto 2016 se vieron diez veces más víctimas que en abril 2016.
Cantidad de usuarios atacados por Trojan-Banker.AndroidOS.Gugi
Pronto publicaremos un informe detallado sobre la familia Trojan-Banker.AndroidOS.Gugi, sus capacidades y uso del protocolo Websocket.
Todos los productos Kaspersky Lab detectan todas las modificaciones de la familia Trojan-Banker.AndroidOS.Gugi.
El troyano bancario Gugi evoluciona para superar las barreras de Android 6