Компания Comodo опасным научно-исследовательских лабораторий (клавиши Ctrl) объявила, что обнаружила новое семейство финансовым обеспечением окрестили как “Gugi/фанта/Лайм”. Это изощренный Банковский Троян, который может обойти стандартные протоколы безопасности операционной системы Android (версия 6), и взять на себя Операционная система. Финансовым обеспечением добивается привилегий системы и учетные данные пользователей, и как только он получает их, он приобретает полный контроль над Android устройством.

Сочетание клавиш Ctrl обнаружил вредоносное ПО, чтобы быть активным в России. Этот Троян помещает подлинным поддельные программы интерфейс более оригинальные приложения, такие как магазин Google Play или другие мобильные банковские приложения. Он убеждает пользователей и заставляет их поверить, что интерфейс является подлинной и заставляет их раскрывать свои учетные данные и другую конфиденциальную информацию, такую как кредитные карты и дебетовой карты.

Как Заражение Происходит

Злоумышленники используют приемы социальной инженерии и фишинга для инициации инфекции. Они рассылают спам-сообщения, содержащие гиперссылки. Если пользователь не достаточно настороженно и нажимает на ссылку, то пользователь попадает на вредоносный веб-сайт и, нажав на другую ссылку. Нажатие инициирует скачивание Троянца-банкир.AndroidOS.Gugi.с на устройстве пользователя.

В “Gugi/фанта/Лайм” троянский теперь добивается разрешения пользователя – как из андроида версии 6 явного разрешения пользователя/собственника требуется для определенных разрешений для приложений, а также для наложения экранов/Windows поверх других приложений. Если пользователь дает разрешение, то Троян перекрывает интерфейс подлинных Google играть магазин приложений и других мобильных банковских приложений с фишинга Windows для кражи учетных данных пользователя.

Вредоносная программа фактически “заставляет” пользователя, чтобы предоставить все необходимые разрешения. Пока сообщение на экране добивается, казалось бы, аутентичные просит разрешения, на самом деле троянец ищет разрешения для приложения, наложения, права администратора устройства; отправлять, просматривать и получать SMS и MMS-сообщения, совершать звонки, читать и писать контакты, а также все другие права, его желания. В фанты Троян также просит разрешение на BuildConfig, HindeKeybroad, и ContextThemeWrapper. Вредоносная программа получает данные телефона такие как IMEI (Международный идентификатор мобильного оборудования), по imsi (Международный идентификатор мобильного абонента), subscriberid уникальный идентификатор пользователя, SimOperatorName и SimCountryIso.

Если пользователь не дает разрешения в любое время, то “Gugi/фанта/Лайм” Троян полностью блокируют зараженные устройства. Чтобы восстановить доступ к устройству, пользователь не имеет никакого другого варианта кроме перезагрузки в безопасном режиме, а затем попытаться удалить/удалить Троян с использованием систем безопасности.

Троянец отправляет SMS на команды и управлением (ЧПУ) сервер для установления контакта. Он использует протокол websocket для взаимодействия со своими серверами с ЧПУ. Вредоносные программы теперь накладки подлинные приложения экранов от фишинговых окон и ворует всю информацию, которая вводится на экранах – это включает в себя идентификационные данные и реквизиты карты.

В “Gugi/фанта/Лайм” Троян был главным образом использована для атак на пользователей в России до сих пор, и, учитывая ее эффективность, она может быть использована во всем мире в будущем.

Как защитить себя?

• Пользователь/образование сотрудника по кибербезопасности
• Пользователи не должны переходить по ссылкам в sms от неизвестных источников или открывать вложения от неизвестных источников.
• Это будет безопаснее, чтобы не нажать на любую ссылку в СМС. Истинное расширение гиперссылка может быть проверена, а затем открыл.
• Будьте осторожны в предоставлении разрешения.
• Если приложение запрашивает доступ, то Будьте очень осторожны перед предоставлением разрешения.
• Фишинговые SMS и письма могут прийти с поддельным подлинными Идентификаторами. Сознательное и осторожны о подобных попытках.