Analytici Kaspersky Lab objevili modifikaci bankovního trojského koně, který umí obejít zabezpečení Androidu 6.0 Marshmallow. Gugi dokáže přelstít jeho bezpečnostní prvky blokující phishingové a ransomwarové útoky. Nutí uživatele k tomu, aby malwaru povolili zasahovat do aplikací v telefonu, zasílat a zobrazovat SMS, volat a mnoho dalšího.
Cílem trojského koně Gugi je ukrást údaje uživatelů z mobilního bankovnictví prostřednictvím nahrazení originálních aplikací bank phishingovou aplikací a zároveň získání údajů o kreditní kartě překrytím aplikace Google Play Store. Na konci roku 2015 byla představena nová verze operačního systému Android 6.0 s bezpečnostními prvky navrženými speciálně tak, aby podobné útoky blokovaly.
Mimo jiné nyní aplikace požadují uživatelovo svolení s nahrazením aplikace jinou aplikací, a rovněž vyžadují povolení pro zasílání SMS nebo volání v případě jejich prvního spuštění. Analytici Kaspersky Lab z anti-malware týmu však nyní odhalili modifikaci trojského koně Gugi, která dokáže právě tyto dva nové bezpečnostní prvky úspěšně obejít.
Počáteční infekce modifikovaným trojským koněm proběhne prostřednictvím sociálního inženýrství, převážně pomocí spamové SMS, která vybízí uživatele k navštívení podvodného odkazu. Jakmile se na zařízení nainstaluje, začne trojan získávat přístupová práva, která potřebuje. Na uživatelově displeji malware zobrazí upozornění „Jsou vyžadována další přístupová práva za účelem práce s grafikou a Windows“, přičemž je k dispozici pouze jediná volba „povolit“.
Pokud uživatel tento krok povolí, objeví se oznámení požadující oprávnění k překrytí aplikace. Po jeho schválení zablokuje trojský kůň zařízení dalším dotazem ohledně práv „Trojan Device Administrator“ a následně bude vyžadovat povolení k zasílání SMS a volání.
V případě že trojský kůň neobdrží veškerá povolení, dojde k celkovému zablokování infikovaného zařízení. Poté je uživatelovou jedinou možností resetovat přístroj do bezpečného módu a pokusit se odinstalovat trojského koně. Tento postup bude značně obtížnější, pokud již malware získal správcovská práva „Trojan Device Administrator“.
Gugi je typickým bankovním trojským koněm, který krade finanční údaje, SMS a kontakty, provádí USSD požadavky a posílá SMS na základě příkazů řídícího serveru. Do dneška se 93 % uživatelů napadených tímto malwarem nacházelo na území Ruska, avšak počet obětí stále roste.
