Mobile

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d’Android 6

Presque toutes les mises à jour du système d’exploitation Android contiennent des nouvelles fonctions de sécurité chargées de compliquer la vie des cybercriminels. Et bien entendu, les cybercriminels tentent de les déjouer.

Nous avons repéré une nouvelle modification du trojan bancaire Trojan-Banker.AndroidOS.Gugi.c qui peut déjouer deux nouvelles fonctions de sécurité ajoutées à Android 6 : l’autorisation pour la superposition d’écran et la demande d’autorisation dynamique pour les activités dangereuses des applications comme les envois de SMS ou la réalisation d’appels. Cette nouvelle version n’exploite aucune vulnérabilité : elle ne repose que sur l’ingénierie sociale.

Infection initiale

Le trojan Gugi se propage principalement via des SMS non sollicités qui amènent la victime sur une page Internet de phishing affichant le texte « Cher Utilisateur, vous avez reçu une photo par MMS ! Cliquez sur le lien suivant pour l’afficher. »

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

L’utilisateur qui clique sur ce lien lance le téléchargement du trojan Gugi sur son appareil Android.

Contournement des fonctions de sécurité

Pour contribuer à la protection des utilisateurs contre les attaques de phishing et de ransomware, Android 6 impose désormais aux applications de solliciter une autorisation pour superposer leur écran sur celui d’autres applications. Dans les versions antérieures du système d’exploitation, la superposition d’écran se déroulait automatiquement.

Le but du trojan est de superposer une fenêtre de phishing sur les écrans des applications bancaires afin de voler les identifiants de l’utilisateur pour ces applications. Il superpose également son écran sur celui de l’application Google Play Store pour voler les données de la carte de crédit.

La modification Trojan-Banker.AndroidOS.Gugi.c obtient l’autorisation requise pour la superposition en forçant l’utilisateur à la lui accorder. Il en profite alors pour bloquer l’écran tout en exigeant un accès toujours plus dangereux.

La première fenêtre que l’utilisateur victime de l’infection voit contient le texte « Autorisations complémentaires requises pour utiliser les graphiques et les fenêtres » et le bouton « octroyer ».

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Une fois que l’utilisateur a appuyé sur ce bouton, il verra apparaître une boîte de dialogue qui autorise la superposition d’écran (« traction sur d’autres applications »).

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Requête système pour autoriser Trojan-Banker.AndroidOS.Gugi.c à superposer ses écrans

Dès que l’utilisateur octroie cette autorisation à Gugi, le trojan bloque l’appareil et affiche sa fenêtre au-dessus de n’importe quelle autre fenêtre ou boîte de dialogue.

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Fenêtre de Trojan-Banker.AndroidOS.Gugi.c qui bloque l’appareil infecté jusqu’à ce qu’il reçoive toutes les autorisations nécessaires

L’utilisateur n’a pas le choix. Il voit une seule fenêtre qui ne contient qu’un bouton : « Activer ». Une fois que l’utilisateur a appuyé sur ce bouton, il recevra une suite continue de requêtes pour toutes les autorisations que le trojan recherche. Le menu principal sera accessible uniquement lorsque l’utilisateur aura tout accepté.

Par exemple, dès lors que l’utilisateur aura appuyé une première fois sur le bouton, le trojan demandera les autorisations d’administrateur de l’appareil. Il en a besoin pour se protéger car cette autorisation en particulier complique sensiblement la tâche de l’utilisateur qui souhaiterait désinstaller l’app.

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Une fois administrateur de l’appareil, le trojan envoie la requête suivante. Celle-ci demande à l’utilisateur l’autorisation pour envoyer et lire des messages SMS et pour réaliser des appels.

Il est intéressant de voir qu’Android 6 a introduit une fonction de requête dynamique dans ses nouvelles fonctions de sécurité.

Les versions antérieures du système d’exploitation affichent les autorisations des applications uniquement lors de l’installation ; toutefois, à partir d’Android 6, le système demandera aux utilisateurs des autorisations pour exécuter des opérations dangereuses comme envoyer des SMS ou réaliser des appels la première fois que l’utilisateur tentera d’utiliser ces fonctions. Il peut aussi autoriser les applications à envoyer ces requêtes à chaque fois : c’est ce que la version modifiée du trojan Gugi fait.

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Requête du système pour les autorisations dynamiques

Le trojan continuera à demander l’autorisation jusqu’à ce que l’utilisateur accepte. Si celui-ci refuse, les requêtes suivantes lui donneront l’option de fermer la requête. Si le trojan ne reçoit pas toutes les autorisations qu’il souhaite, il bloquera complètement l’appareil infecté. Dans ce cas, la seule option offerte à l’utilisateur sera de redémarrer l’appareil en mode sans échec et d’essayer de désinstaller le trojan.

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Requête du système envoyée à répétition pour les autorisations dynamiques

Un trojan bancaire standard

A l’exception de sa capacité à déjouer les fonctions de sécurité d’Android 6 et de l’utilisation du protocole Websocket, Gugi est un trojan bancaire traditionnel. Il superpose des fenêtres de phishing sur les écrans des applications afin de voler les identifiants des applications bancaires pour mobile ou les données de cartes de crédit. Il vole également les SMS, les contacts, réalise des requêtes USSD et peut envoyer des SMS sur instruction du serveur de commande.

La famille Trojan-Banker.AndroidOS.Gugi est connue depuis décembre 2015 environ. La découverte de la modification Trojan-Banker.AndroidOS.Gugi.c remonte à juin 2016.

Profil des victimes

La famille de trojan Gugi attaque principalement des utilisateurs établis en Russie : 93 % des utilisateurs attaqués à ce jour résident dans ce pays. Pour le moment, ce trojan a le vent en poupe : le nombre de victimes enregistrées au cours de la première quinzaine d’août 2016 est dix fois supérieur à celui des victimes d’avril 2016.

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Nombre d’utilisateurs uniques attaqués par Trojan-Banker.AndroidOS.Gugi.

Nous allons prochainement publier un rapport détaillé sur la famille du malware Trojan-Banker.AndroidOS.Gugi, ses fonctions et son utilisation du protocole Websocket.

Tous les produits de Kaspersky Lab détectent toutes les modifications de la famille du malware Trojan-Banker.AndroidOS.Gugi malware.

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d’Android 6

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception