Un’evoluzione del trojan bancario gugi riesce a bypassare le nuove protezioni di android 6

Una nuova versione del famoso trojan bancario Gugi è in grado di ingannare l’utente e rubare informazioni raggirando le novità che Android ha aggiunto al suo sistema di sicurezza, saperne di più è la chiave per evitare la truffa

Una delle motivazioni per cui è bene aggiornare periodicamente il sistema operativo del proprio smartphone è che spesso gli aggiornamenti includono nuove funzionalità di sicurezza, appositamente progettate per mettere i bastoni fra le ruote ai cyber criminali.

Ovviamente però evolvono anche i metodi d’attacco che tentano di bypassare tali protezioni.

Gli esperti del Kaspersky Lab hanno scovato un’evoluzione del trojan bancario Trojan-Banker.AndroidOS.Gugi.c, destinato ai dispotivi mobili.

La famiglia Trojan-Banker.AndroidOS.Gugi risulta conosciuta, all’incirca, sin dal mese di dicembre 2015; nello specifico, la variante Trojan-Banker.AndroidOS.Gugi.c è stata individuata, per la prima volta, nel mese di giugno 2016.

“Gugi” è ora in grado di bypassare due nuove funzionalità di sicurezza aggiunte ad Android 6 al fine di ostacolare attacchi ransomware e attività di phising – ovvero quando gli hackers tentano, fingendosi enti affidabili, di convincere la vittima a fornire informazioni personali. Queste funzionalità riguardano la soprapposizione – overlay – alle app tramite apposito permesso e l’obbligo di autorizzazione dinamica riguardo alle attività in-app che potrebbero rivelarsi pericolose, quali SMS o chiamate.

Le novità del malware hanno causato un allarmante aumento del numero delle vittime: nella prima metà di agosto 2016 è aumentato di 10 volte rispetto al mese precedente.

Android 6 ha introdotto la specifica necessità, per le app, di dover richiedere un permesso apposito per poter sovrapporre la propria finestra alle altre applicazioni. Nelle precedenti versioni del sistema operativo mobile le app potevano sovrapporsi automaticamente.

Il trojan al contrario tenta di sovrapporre insidiose finestre di phishing alle applicazioni utilizzate in ambito bancario, allo scopo di carpire le credenziali utilizzate dall’utente per le operazioni di mobile banking. Gugi è in grado ad esempio di sovrapporsi a Google Play Store – l’app store di Android – per raccogliere dati sensibili relativi alle carte di credito.

Non appena il dispositivo viene infettato da Gugi, il maleware agisce tramite l’ingegneria sociale, solitamente con un SMS spam che incoraggia l’utente a clickare su un link.

Grazie a questo link il trojan si installa sul dispositivo per poi mostrare sul display una finestra contenente il testo “Per operare con grafica e finestre sono necessari diritti aggiuntivi”. L’unico pulsante disponibile è “Provvedi”, se l’utente clicca compare una finestra che chiede il permesso per sovrapporre app. A quel punto il trojan chiede l’autorizzazione ad inviare, leggere SMS e fare chiamate.

Gli utenti più esperti potrebbero titubare, ma non c’è scampo: se i permessi che Gugi chiede non vengono concessi il dispositivo viene immediatamente bloccato. A quel punto l’unica opzione sarebbe riavviare il telefono in safe mode e tentare di disinstallare il trojan, operazione che può rilevarsi complicata.

Attualmente il 93% degli attacchi è stato sferrato in Russia ma malware di questo tipo sono in grado di diffondersi molto velocemente.

Il fattore umano, ovvero l’ingenuità degli utenti nel fidarsi di avvisi falsi, rimane il principale fattore del successo di molti cyber attacchi, informarsi è dunque fondamentale per proteggere i propri dispositivi e dati.

Oltre all’attenzione alla truffa è buona norma installare un app anti-malware e mantenere sempre il sistema operativo aggiornato!