Эксперт «Лаборатории Касперского» Роман Унучек сообщает, что операторы банковской троянской программы Trojan-Banker.AndroidOS.Gugi.c (Gugi) путем обмана вынуждают пользователей устанавливать ее на свои устройства, обходя защитные механизмы Android 6 Marshmallow.
Киберпреступники для распространения Gugi используют фишинговые SMS-сообщения. Переход по ссылке, присутствующей в сообщении, запускает процесс загрузки троянской программы на устройство.
Бурный рост активности вымогательских программ побудил Google добавить в Android 6 новый функционал, который требует у приложений, стремящихся открывать свои окна поверх других программ, отправлять пользователю запрос для получения соответствующего разрешения. Gugi получает разрешение, используя социальную инженерию.
Для обеспечения возможности открытия своих окон поверх других Gugi отображает на экране устройства уведомление о необходимости получения прав для работы с графикой и окнами. В этом уведомлении присутствует только кнопка «Предоставить». Нажатие на нее запускает диалоговое окно, которое разрешает «рисовать поверх других приложений». После получения соответствующего разрешения Gugi осуществляет блокировку устройства и отображает свое окно поверх всех прочих.
Затем на экране появляется уведомление, запрашивающее у пользователя подтверждение того, что он – администратор устройства, и содержащее только кнопку «Активировать». При активации троянская программа запрашивает все права, необходимые ей. После каждого нажатия постоянно открывается новое окно. Если на все запросы не были даны утвердительные ответы, то пользователь не сможет вернуться в главное меню.
По словам эксперта, если не считать способность к обходу защитных механизмов Android 6 и использованию протокола Websocket, Gugi – это типичная банковская троянская программа. Вредоносная программа отображает поверх свои окна других приложений и занимается хищением данных с банковских карт. Кроме того, Gugi может похищать SMS-сообщения и контактную информацию, по команде злоумышленников отправлять USSD-запросы и SMS.