Il Trojan bancario Gugi si evolve per bypassare le protezioni di Android 6

Quasi ogni aggiornamento del sistema operativo Android include nuove funzionalità di sicurezza, appositamente progettate per rendere la vita ancor più difficile ai cyber criminali. E, ovviamente, i cyber criminali cercano sempre di bypassare tali protezioni.

Abbiamo in effetti scoperto una nuova variante di Trojan bancario destinato ai dispositivi mobile, Trojan-Banker.AndroidOS.Gugi.c, in grado di bypassare due nuove funzionalità di sicurezza aggiunte ad Android 6: la sovrapposizione (overlay) alle app tramite apposito permesso e l’obbligo di autorizzazione dinamica riguardo alle attività in-app che potrebbero rivelarsi pericolose, quali SMS o chiamate. La variante in questione non fa uso di alcuna vulnerabilità; essa ricorre semplicemente all’ingegneria sociale.

L’infezione iniziale

Il Trojan Gugi viene distribuito prevalentemente tramite messaggi SMS di spam, preposti a condurre gli utenti verso pagine web di phishing; tali SMS presentano il seguente testo: “Gentile utente, ha ricevuto una foto tramite MMS! Può visualizzarla cliccando sul link qui sotto”.

Il Trojan bancario Gugi si evolve per bypassare le protezioni di Android 6

Di fatto, cliccando sul link si avvia il download del Trojan Gugi sul dispositivo Android dell’utente.

Ecco come vengono aggirate le funzionalità di sicurezza

Per contribuire a proteggere gli utenti dagli effetti negativi prodotti dagli attacchi di phishing o ransomware, Android 6 ha introdotto la specifica necessità, per le app, di dover richiedere un apposito permesso, per poter sovrapporre la propria finestra/vista alle altre applicazioni. Nelle precedenti versioni dell’OS mobile, invece, le app potevano sovrapporsi automaticamente ad altre applicazioni.

L’obiettivo finale del Trojan è quello di sovrapporre insidiose finestre di phishing alle applicazioni utilizzate in ambito bancario, allo scopo di carpire le credenziali utilizzate dall’utente per le operazioni di mobile banking. Gugi si sovrappone ugualmente all’app del Google Play Store, per realizzare il furto dei dati sensibili relativi alle carte di credito.

La variante di malware denominata Trojan-Banker.AndroidOS.Gugi.c ottiene il permesso di overlay di cui ha bisogno, forzando gli utenti a concedere tale autorizzazione. Il Trojan si avvale poi di quest’ultima per bloccare lo schermo, mentre provvede a richiedere tipologie di accesso ancor più pericolose.

La prima cosa che l’utente visualizza sul proprio dispositivo infetto è, in pratica, una finestra contenente il seguente testo: “Per operare con grafica e finestre sono necessari diritti aggiuntivi”. Sotto al testo, si trova poi un pulsante con la scritta: “Provvedi”.

Il Trojan bancario Gugi si evolve per bypassare le protezioni di Android 6

Dopo aver cliccato su questo pulsante, l’utente visualizzerà una finestra di dialogo, che autorizza la sovrapposizione delle app (“drawing over other apps”).

Il Trojan bancario Gugi si evolve per bypassare le protezioni di Android 6

Richiesta del sistema per consentire al malware Trojan-Banker.AndroidOS.Gugi.c di sovrapporsi ad altre app

Tuttavia, non appena l’utente concede a Gugi tale autorizzazione, il Trojan blocca il dispositivo, mostrando la propria finestra al di sopra di qualsiasi altra finestra/dialog box.

Il Trojan bancario Gugi si evolve per bypassare le protezioni di Android 6

La finestra di Trojan-Banker.AndroidOS.Gugi.c che blocca il dispositivo infetto, finché il malware non ottiene tutti i diritti ad esso necessari

Gugi, in pratica, non lascia alcuna scelta all’utente, visto che il Trojan presenta a quest’ultimo una finestra che contiene un solo pulsante: “Attiva”. Dopo che l’utente ha premuto su tale pulsante, il proprietario dello smartphone riceverà una serie continua di richieste, relative a tutti i diritti che il Trojan cerca progressivamente di acquisire. L’utente non potrà così tornare al menu principale finché non avrà dato il proprio assenso ad ogni singola richiesta effettuata dal malware.

Ad esempio, dopo aver cliccato la prima volta sul pulsante in questione, il Trojan richiederà i diritti di Amministratore del Dispositivo. Per Gugi questo si rivela di primaria importanza, per la propria autodifesa, visto che, in tal modo, disinstallare l’app dannosa diviene un compito molto più difficile per l’utente-vittima.

Il Trojan bancario Gugi si evolve per bypassare le protezioni di Android 6

Dopo essere riuscito a divenire “Amministratore del Dispositivo”, il Trojan produce la richiesta successiva. Attraverso di essa, viene chiesta all’utente l’autorizzazione per inviare e “visualizzare” gli SMS, così come per effettuare le chiamate.

È di particolare interesse il fatto che Android 6 abbia introdotto la funzionalità relativa alla richiesta dinamica, nell’ambito delle nuove “dotazioni” di sicurezza.

Le precedenti versioni dell’OS mostrano i permessi relativi alle applicazioni solo al momento dell’installazione; a partire da Android 6, tuttavia, il sistema richiederà agli utenti l’autorizzazione ad eseguire azioni ritenute pericolose, quali, ad esempio, l’invio di SMS o l’effettuazione di chiamate, la prima volta in cui si tenta di svolgere tali attività – oppure consentirà alle app di eseguire la richiesta del permesso ogni singola volta, nel momento in cui esso serve; questo è proprio quello che fa, in sostanza, la variante del Trojan Gugi qui analizzata.

Il Trojan bancario Gugi si evolve per bypassare le protezioni di Android 6

Richiesta del sistema relativa all’autorizzazione dinamica

Il Trojan, poi, continuerà a chiedere all’utente ogni singola autorizzazione, finché quest’ultimo non accorda il proprio consenso. Nel caso in cui l’utente dovesse negare il permesso, le richieste successive offriranno allo stesso l’opzione di poter chiudere la richiesta. Se il Trojan non ottiene tutti i permessi che “desidera”, esso bloccherà completamente il dispositivo infetto. In tal caso, l’unica possibilità, per l’utente-vittima, è quella di riavviare il dispositivo in modalità provvisoria, e cercare di disinstallare il Trojan.

Il Trojan bancario Gugi si evolve per bypassare le protezioni di Android 6

Ripetizione della richiesta del sistema relativa all’autorizzazione dinamica

Un Trojan bancario standard

Ad eccezione della sua singolare capacità di bypassare le funzionalità di sicurezza di Android 6 e dell’utilizzo che esso fa del protocollo Websocket, Gugi è, a tutti gli effetti, un tipico Trojan bancario. Esso si sovrappone alle applicazioni con finestre di phishing, allo scopo di rubare le credenziali utilizzate nell’ambito dei sistemi di mobile banking, oppure i dati sensibili relativi alle carte di credito. Esso carpisce ugualmente gli SMS, i contatti, effettua richieste USSD ed è in grado di inviare messaggi SMS su apposito comando impartito dal proprio C&C.

La famiglia Trojan-Banker.AndroidOS.Gugi risulta conosciuta, all’incirca, sin dal mese di dicembre 2015; nello specifico, la variante Trojan-Banker.AndroidOS.Gugi.c è stata individuata, per la prima volta, nel mese di giugno 2016.

Profilo delle vittime

Il Trojan Gugi attacca principalmente gli utenti ubicati in Russia: sino ad ora, più del 93% degli utenti sottoposti ad attacco sono risultati essere situati entro i confini di tale Paese. Si tratta, in questo preciso momento, di un Trojan “di tendenza”; nella prima metà del mese di agosto 2016 si è verificato un numero di vittime superiore di ben dieci volte rispetto a quanto riscontrato, in maniera analoga, nel mese di aprile dell’anno in corso.

Il Trojan bancario Gugi si evolve per bypassare le protezioni di Android 6

Numero di utenti unici sottoposti ad attacco da parte del malware mobile Trojan-Banker.AndroidOS.Gugi.

Pubblicheremo, a breve, un dettagliato report riguardo alla famiglia di malware Trojan-Banker.AndroidOS.Gugi, alle specifiche funzionalità che la contraddistinguono,e all’utilizzo, da parte di essa, del protocollo Websocket.

Tutti i prodotti Kaspersky Lab rilevano tutte le varianti della famiglia di malware denominata Trojan-Banker.AndroidOS.Gugi.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *