В выпущенной в прошлом году Android 6 Marshmallow компания Google реализовала ряд нововведений, призванных улучшить безопасность мобильной операционной системы.
Тем не менее, принятые меры становятся совершенно бесполезными, когда дело доходит до социальной инженерии.
Как сообщает эксперт «Лаборатории Касперского» Роман Унучек, операторы банковского трояна Trojan-Banker.AndroidOS.Gugi.c или просто Gugi обманным путем заставляют пользователей установить вредонос на свои устройства в обход механизмов безопасности в Android 6 Marshmallow. Злоумышленники распространяют Gugi посредством фишинговых SMS-сообщений. Кликнув на содержащуюся в сообщении ссылку, жертва инициирует загрузку трояна на свое устройство. Здесь вредоносу нужно пройти первый тест.
В ответ на стремительный рост числа заражений вымогательским ПО Google добавила в Android 6 новую функцию, требующую у приложений, которые хотят открывать свои окна поверх других программ, запрашивать у пользователя соответствующее разрешение. Gugi получает у жертвы такое разрешение с помощью социальной инженерии.
С целью обеспечить себе возможность открывать окна поверх других Gugi открывает на экране устройства следующее уведомление: «Для работы с графикой и окнами приложению необходимы права». Единственная доступная жертве опция – «Предоставить». После нажатия на данную кнопку открывается диалоговое окно, разрешающее «рисование поверх других приложений». После того, как жертва дает соответствующее разрешение, Gugi блокирует устройство и отображает свое окно поверх любых других окон и диалогов.
Далее на экране появляется уведомление с требованием подтвердить, что пользователь является администратором устройства, и единственной кнопкой «Активировать». Как только жертва ее нажимает, троян запрашивает все необходимые ему права. После первого нажатия открывается следующее окно, затем следующее и так далее. Не дав утвердительные ответы на все запросы, пользователь не может вернуться в главное меню.
Как пояснил эксперт, не считая способности обходить механизмы защиты Android 6 и использовать протокол Websocket, Gugi является типичным банковским трояном. Вредонос отображает поверх других приложений свои окна и похищает данные банковских карт жертв. Gugi также способен похищать SMS-сообщения и контакты, совершать USSD-запросы и отправлять SMS по команде от C&C-сервера.
