Kaspersky Lab wykrył nowy rodzaj złośliwego oprogramowania, które omija zabezpieczenia szóstej wersji mobilnego systemu operacyjnego Android i pozwala cyberprzestępcom na przechwytywanie informacji z aplikacji bankowych i wykradanie danych kart kredytowych.

Kaspersky Lab wykrył nowy rodzaj złośliwego oprogramowania, które omija zabezpieczenia szóstej wersji mobilnego systemu operacyjnego Android i pozwala cyberprzestępcom na przechwytywanie informacji z aplikacji bankowych i wykradanie danych kart kredytowych.
Do większości ataków zmodyfikowanej wersji trojana Gugi doszło na terytorium Rosji, gdzie swoją siedzibę ma Kaspersky Lab. /Monika Kamińska /Archiwum RMF FM

Firma zajmująca się cyberbezpieczeństwem zwraca uwagę, że celem wykrytego oprogramowania "jest kradzież danych uwierzytelniających transakcje bankowości mobilnej poprzez nakładanie narzędzi phishingowych na rzeczywiste aplikacje bankowe oraz przechwytywanie danych dotyczących kart płatniczych przez nakładanie się na Sklep Play firmy Google".

Malware atakuje urządzenia z systemem Android w wersji nr 6, która została opublikowana pod koniec 2015 roku. Twórca systemu mobilnego, amerykański koncern Google, przekonywał wtedy, że nowy Android został wyposażony w funkcje chroniące przed różnymi atakami.

Kaspersky Lab tłumaczy, że odkryte oprogramowanie to modyfikacja trojana Gugi, który atakował wszystkie wersje systemu Android. Według oświadczenia firmy zmodyfikowaną wersję Gugi odkryto po raz pierwszy w czerwcu - sześć miesięcy po tym, jak po raz pierwszy odkryto rodzinę tych trojanów.

Zmodyfikowany trojan zmusza użytkowników do przekazania mu prawa nakładania się na rzeczywiste aplikacje, wysyłania i przeglądania wiadomości SMS, wykonywania połączeń i innych czynności. Szkodnik rozprzestrzenia się przy użyciu socjotechniki, a jego wykorzystywanie przez cyberprzestępców szybko wzrasta: od kwietnia do początku sierpnia 2016 r. liczba ataków wzrosła dziesięciokrotnie - podkreśla firma na swojej stronie internetowej.

Firma tłumaczy, że pierwotna infekcja przy użyciu tego zmodyfikowanego trojana odbywa się za pośrednictwem socjotechniki, zwykle przy pomocy SMS-a, który zachęca użytkowników do kliknięcia szkodliwego odsyłacza. Po instalacji na urządzeniu trojan dąży do uzyskania potrzebnych mu praw dostępu - podkreśla Kaspersky Lab. Gdy jest gotowy, wyświetla następujący komunikat na ekranie użytkownika: "Potrzebne są dodatkowe prawa w celu pracy z grafiką i oknami". Daje tylko jedną możliwość: "Zezwól".

Gdy użytkownik kliknie ten przycisk, pojawia się ekran z prośbą o autoryzowanie nałożenia się na aplikację. Po otrzymaniu zgody trojan zablokuje ekran urządzenia, wyświetlając na nim komunikat z prośbą o udzielenie praw "administratora urządzenia", a następnie poprosi o pozwolenie na wysyłanie i przeglądanie SMS-ów oraz wykonywanie połączeń telefonicznych - dodano w komunikacie zamieszczonym na firmowej stronie.

Kaspersky Lab ostrzega, że jeżeli złośliwe oprogramowanie nie uzyska potrzebnych mu danych, wtedy zainfekowane urządzenie zostanie zablokowane. Natomiast wszelkie próby odinstalowanie trojana mogą być utrudnione.

Firma podkreśla, że "Gugi to typowy trojan bankowy, który kradnie finansowe dane uwierzytelniające, SMS-y oraz kontakty, wysyła żądania USSD i SMS-y zgodnie z poleceniami serwera kontrolowanego przez cyberprzestępców".

Do większości ataków zmodyfikowanej wersji trojana Gugi doszło na terytorium Rosji, gdzie swoją siedzibę ma Kaspersky Lab.

APA