„Kaspersky Lab“ ekspertai aptiko „Gugi“ bankininkystės „Trojos“ virusą, kuris gali apeiti „Android 6“ saugumo funkcijas, skirtas blokuoti šlamštalaiškius ir išpirkos reikalaujančių virusų išpuolius. Modifikuotas „Trojos“ virusas verčia vartotojus suteikti jam teisę keisti originalias programas, siųsti ir peržiūrėti SMS, skambinti ir t. t.
Jis platinamas pasitelkiant kibernetinių nusikaltėlių plačiai naudojamą socialinę inžineriją. Nuo 2016 m. balandžio iki rugpjūčio pradžios dešimt kartų padidėjo aukų skaičiaus.
„Gugi“ „Trojos“ viruso tikslas – vogti naudotojų mobiliosios bankininkystės duomenis, originalias bankininkystės programas dengiant padirbtomis, ir pasinaudoti kreditinės kortelės duomenimis, pasitelkiant „Google Play“ parduotuvės programas. 2015 metų pabaigoje buvo išleista „Android OS 6“ versija su naujomis apsaugos funkcijomis, skirtomis blokuoti tokius išpuolius. Dabar programos reikalauja naudotojo sutikimo parsisiųsti kitas programas ir prašo patvirtinti veiksmus, pavyzdžiui, siųsti SMS ir skambinti pirmą kartą.
„Kaspersky Lab“ antivirusų ekspertai aptiko „Gugi“ pakeitimus, kurie gali sėkmingai apeiti šias dvi naujas funkcijas.
Modifikuotu „Trojos“ virusu užkrečiama pasitelkiant socialinę inžineriją, paprastai su šlamštalaiškiais, kurie skatina naudotojus paspausti kenkėjišką nuorodą. Į įrenginį įdiegtas „Trojos“ virusas nustato, kokių prieigos teisių jam reikės. Kai viskas paruošta, kenkėjiška programa atvaizduoja ženklą naudotojo ekrane: „Reikia papildomų teisių dirbti su grafika ir „Windows“. Yra tik vienas mygtukas – „Suteikti“.
Kai naudotojas jį paspaudžia, ekrane atsiranda užrašas, kuriame prašoma leisti parsisiųsti programėlę. Gavęs leidimą, „Trojos“ virusas blokuoja įrenginio ekraną pranešimu, kuriame prašoma „Trojos“ įrenginio administratoriaus teisių, o vėliau leidimo siųsti ir peržiūrėti SMS bei skambinti.
Jei „Trojos“ virusas negauna visų jam reikalingų teisių, jis visiškai užblokuoja užkrėstą įrenginį. Jei taip atsitinka, vienintelis naudotojo pasirinkimas – perkrauti įrenginį saugiuoju režimu ir bandyti pašalinti virusą. Tai padaryti daug sunkiau, jei „Trojos“ virusas jau įgijo „Trojos“ įrenginio administratorius teises.
Be šių saugumo pažeidžiamumų ir kelių kitų funkcijų, „Gugi“ yra tipinis bankininkystės „Trojos“ virusas: vagia finansinius duomenis, SMS ir kontaktus, siųsdamas USSD prašymus ir SMS, vykdydamas komandinio serverio nurodymus. Iki šiol 93 proc. „Gugi“ viruso užpultų naudotojų yra Rusijoje, tačiau jo aukų skaičius auga. Per pirmąją 2016 m. rugpjūčio pusę buvo dešimt kartų daugiau aukų nei 2016 m. balandį.
„Kibernetinis saugumas – nesibaigiantis ralis. Operacinės sistemos, pavyzdžiui, „Android“, nuolat atnaujina saugumo funkcijas, siekdamos apsaugoti klientus, bet kibernetiniai nusikaltėliai ieško būdų, kaip apeiti saugumo funkcijas. Saugumo pramonė labai stengiasi, kad jiems tai nepavyktų. Modifikuoto „Gugi“ viruso aptikimas yra geras to pavyzdys.
Žinodami grėsmę, mes galime ją neutralizuoti ir padėti žmonėms, kad jų įrenginiai ir duomenys liktų saugūs“, – sako Romanas Unučekas (Roman Unucheck), „Kaspersky Lab“ vyriausiasis kenkėjiškų programų tyrimo analitikas.
„Kaspersky Lab“ rekomenduoja „Android“ naudotojams atlikti tam tikrus veiksmus, kad apsisaugotų nuo „Gugi“ ir kitų kenkėjiškų programų grėsmių:
- Nesutikite automatiškai perduoti teises ir suteikti prieigą, kai programėlė to prašo – pagalvokite, ko jūsų prašoma ir kodėl.
- Verta įdiegti antikenkėjiškų programų sprendimus visuose įrenginiuose ir nuolat atnaujinti operacinių sistemų programas.
- Venkite spausti nuorodas iš nepažįstamų žmonių atsiųstose žinutėse arba įtartinose pažįstamų asmenų žinutėse.
- Būkite budrūs lankydamiesi tinklalapiuose: jei kas nors atrodo nors kiek įtartina, tai tikriausiai yra grėsmė.
„Trojan-Banker.AndroidOS.Gugi“ šeima žinoma jau nuo 2015 m. gruodžio, o modifikacija „Trojan-Banker.AndroidOS.Gugi.c“ pirmą kartą aptikta 2016 m. birželį. „Kaspersky Lab“ produktai aptinka visas „Gugi“ „Trojos“ viruso kenkėjiškos šeimos modifikacijas.
Paieška archyve
