<
יום שבת , נובמבר 18 2017
מבזקים
דף הבית > נושאים בכותרות > אבטחה ו-Cyber > הטרויאני לבנקאות Gugi מערים על מנגנוני האבטחה של האנדרואיד 6 החדש

הטרויאני לבנקאות Gugi מערים על מנגנוני האבטחה של האנדרואיד 6 החדש

מומחי מעבדת קספרסקי חשפו גרסה של הטרויאני לבנקאות Gugi המסוגלת לעקוף את מאפייני האבטחה של אנדרואיד 6 החדש, אשר נועדו לחסום מתקפות פישינג ותוכנות כופר. הטרויאני המשודרג מכריח משתמשים להעניק לו את ההרשאות לפעול מעל אפליקציות רגילות, לשלוח ולצפות ב- SMS, לבצע שיחות ועוד. הוא מופץ דרך הנדסה חברתית, והשימוש בו על ידי עברייני סייבר צומח במהירות: בתקופה שבין אפריל ועד תחילת אוגוסט 2016 חל גידול של פי 10 במספר הקורבנות שלו.

המטרה של הטרויאני Gugi היא לגנוב הרשאות  של משתמשים לבנקאות ניידת באמצעות יצירת כיסוי לאפליקציות רגילות לבנקאות עם אפליקציית פישינג, ולכידת פרטי כרטיס אשראי באמצעות כיסוי על אפליקציות גוגל פליי. לקראת סוף 2015, הושקה גרסה 6 של מערכת ההפעלה אנדרואיד עם מאפיינים חדשים שנועדו במיוחד לחסום התקפות שכאלה. בין היתר, אפליקציות נזקקות כעת לאישור משתמש כדי לפעול בשכבה מעל אפליקציות אחרות, ולבקש אישור עבור פעולות כגון שליחת SMS וביצוע שיחות בפעם הראשונה.

gugi_eng_ומחי הלוחמה בקוד הזדוני של מעבדת קספרסקי חשפו גרסה עדכנית של הטרויאני Gugi היכולה לעקוף בהצלחה את שני המאפיינים החדשים.

ההדבקה הראשונית של הטרויאני המעודכן מתרחשת דרך הנדסה חברתית, בדרך כלל דרך SMS ספאם המעודד את המשתמש להקליק על קישור זדוני. ברגע שהותקן על המכשיר, הטרויאני יוצא למשימה להשגת ההרשאות הנדרשות. כאשר הוא מוכן לפעולה, הקוד הזדוני מציג את ההודעה הבאה על מסך המשתמש: "נדרשות הרשאות נוספות כדי לעבוד עם גרפיקה וחלונות". קיים בהודעה רק כפתור אחד – provide.

כאשר משתמש לוחץ על הכפתור מוצג לו מסך המבקש ממנו לאשר הפעלה של שכבת אפליקציות. לאחר קבלת האישור, הטרויאני יחסום את מסך המכשיר עם הודעה המבקשת הרשאות עבור "Trojan Device Administrator", ולאחר מכן הוא מבקש אישור לשלוח ולצפות ב- SMS ולבצע שיחות.

אם הטרויאני לא מקבל את כל ההרשאות שהוא זקוק להן, הוא יחסום לחלוטין את המכשיר הנגוע. באם הדבר מתרחש, האפשרות היחידה של המשתמש היא לאתחל את המכשיר במצב בטוח ולנסות לבטל את התקנת הטרויאני, פעולה שהופכת לקשה יותר אם הטרויאני כבר השיג הרשאת "Trojan Device Administrator".

מלבד היכולת לעקוף את מנגנוני האבטחה האלה ומספר מאפיינים נוספים, Gugi הוא טרויאני נפוץ לבנקאות: עם יכולת לגניבת הרשאות פיננסיות, SMS ואנשי קשר, ביצוע בקשות USSD ושליחת SMS בהתאם להוראות משרת הפיקוד. עד היום, 93% מהמשתמשים שהותקפו על ידי Gugi נמצאו ברוסיה, אבל מספר הקורבנות נמצא בעליה. במחצית הראשונה של אוגוסט 2016 היו פי 10 קורבנות מאשר באפריל 2016.

"אבטחת סייבר היא מרוץ אינסופי. מערכות הפעלה כגון אנדרואיד ממשיכות לעדכן את מאפייני האבטחה שלהן כדי להקשות על עברייני הסייבר ולהגן על הלקוחות. עברייני סייבר הם בלתי נלאים בניסיון שלהם למצוא דרכים לעקוף זאת. תעשיית האבטחה עושה הכל כדי לגרום להם להיכשל. החשיפה של Gugi החדש היא דוגמא טובה לכך. באמצעות חשיפת האיום, אנו יכולים לנטרל אותו, ולסייע להגן על משתמשים, ועל המכשירים והנתונים שלהם בטוחים", אמר רומן אונצ'ק, אנליסט קוד זדוני בכיר, מעבדת קספרסקי.

מעבדת קספרסקי מייעצת למשתמשי אנדרואיד לנקוט בצעדים הבאים כדי להגן על עצמם מפני הטרויאני Gugi ואיומי קוד זדוני אחרים:

  • אל תסכים באופן אוטומטי למסור הרשאות כאשר אפליקציה מבקשת זאת ממך – חשוב על מה מבקשים ממך ומדוע מבקשים זאת.
  • התקן פתרון נגד קוד זדוני בכל המכשירים ושמור על מערכת ההפעלה מעודכנת.
  • הימנע מלחיצה על קישורים בהודעות מאנשים שאתה לא מכיר, או בהודעות בלתי צפויות מאנשים שאתה מכיר
  • היזהר בכל עת כאשר אתה מבקר באתרים, אם משהו נראה אפילו מעט חשוד, זה כנראה באמת כך.

משפחת Trojan-Banker.AndroidOS.Gugi  מוכרת מאז דצמבר 2015, כשהעדכון Trojan-Banker.AndroidOS.Gugi.c נחשף לראשונה ביוני 2016. מוצרי מעבדת קספרסקי מזהים את כל גרסאות Gugi.

לדוח המפורט – Securelist.com

 

 

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.