Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d’Android 6

Presque toutes les mises à jour du système d’exploitation Android contiennent des nouvelles fonctions de sécurité chargées de compliquer la vie des cybercriminels. Et bien entendu, les cybercriminels tentent de les déjouer.

Nous avons repéré une nouvelle modification du trojan bancaire Trojan-Banker.AndroidOS.Gugi.c qui peut déjouer deux nouvelles fonctions de sécurité ajoutées à Android 6 : l’autorisation pour la superposition d’écran et la demande d’autorisation dynamique pour les activités dangereuses des applications comme les envois de SMS ou la réalisation d’appels. Cette nouvelle version n’exploite aucune vulnérabilité : elle ne repose que sur l’ingénierie sociale.

Infection initiale

Le trojan Gugi se propage principalement via des SMS non sollicités qui amènent la victime sur une page Internet de phishing affichant le texte « Cher Utilisateur, vous avez reçu une photo par MMS ! Cliquez sur le lien suivant pour l’afficher. »

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

L’utilisateur qui clique sur ce lien lance le téléchargement du trojan Gugi sur son appareil Android.

Contournement des fonctions de sécurité

Pour contribuer à la protection des utilisateurs contre les attaques de phishing et de ransomware, Android 6 impose désormais aux applications de solliciter une autorisation pour superposer leur écran sur celui d’autres applications. Dans les versions antérieures du système d’exploitation, la superposition d’écran se déroulait automatiquement.

Le but du trojan est de superposer une fenêtre de phishing sur les écrans des applications bancaires afin de voler les identifiants de l’utilisateur pour ces applications. Il superpose également son écran sur celui de l’application Google Play Store pour voler les données de la carte de crédit.

La modification Trojan-Banker.AndroidOS.Gugi.c obtient l’autorisation requise pour la superposition en forçant l’utilisateur à la lui accorder. Il en profite alors pour bloquer l’écran tout en exigeant un accès toujours plus dangereux.

La première fenêtre que l’utilisateur victime de l’infection voit contient le texte « Autorisations complémentaires requises pour utiliser les graphiques et les fenêtres » et le bouton « octroyer ».

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Une fois que l’utilisateur a appuyé sur ce bouton, il verra apparaître une boîte de dialogue qui autorise la superposition d’écran (« traction sur d’autres applications »).

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Requête système pour autoriser Trojan-Banker.AndroidOS.Gugi.c à superposer ses écrans

Dès que l’utilisateur octroie cette autorisation à Gugi, le trojan bloque l’appareil et affiche sa fenêtre au-dessus de n’importe quelle autre fenêtre ou boîte de dialogue.

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Fenêtre de Trojan-Banker.AndroidOS.Gugi.c qui bloque l’appareil infecté jusqu’à ce qu’il reçoive toutes les autorisations nécessaires

L’utilisateur n’a pas le choix. Il voit une seule fenêtre qui ne contient qu’un bouton : « Activer ». Une fois que l’utilisateur a appuyé sur ce bouton, il recevra une suite continue de requêtes pour toutes les autorisations que le trojan recherche. Le menu principal sera accessible uniquement lorsque l’utilisateur aura tout accepté.

Par exemple, dès lors que l’utilisateur aura appuyé une première fois sur le bouton, le trojan demandera les autorisations d’administrateur de l’appareil. Il en a besoin pour se protéger car cette autorisation en particulier complique sensiblement la tâche de l’utilisateur qui souhaiterait désinstaller l’app.

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Une fois administrateur de l’appareil, le trojan envoie la requête suivante. Celle-ci demande à l’utilisateur l’autorisation pour envoyer et lire des messages SMS et pour réaliser des appels.

Il est intéressant de voir qu’Android 6 a introduit une fonction de requête dynamique dans ses nouvelles fonctions de sécurité.

Les versions antérieures du système d’exploitation affichent les autorisations des applications uniquement lors de l’installation ; toutefois, à partir d’Android 6, le système demandera aux utilisateurs des autorisations pour exécuter des opérations dangereuses comme envoyer des SMS ou réaliser des appels la première fois que l’utilisateur tentera d’utiliser ces fonctions. Il peut aussi autoriser les applications à envoyer ces requêtes à chaque fois : c’est ce que la version modifiée du trojan Gugi fait.

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Requête du système pour les autorisations dynamiques

Le trojan continuera à demander l’autorisation jusqu’à ce que l’utilisateur accepte. Si celui-ci refuse, les requêtes suivantes lui donneront l’option de fermer la requête. Si le trojan ne reçoit pas toutes les autorisations qu’il souhaite, il bloquera complètement l’appareil infecté. Dans ce cas, la seule option offerte à l’utilisateur sera de redémarrer l’appareil en mode sans échec et d’essayer de désinstaller le trojan.

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Requête du système envoyée à répétition pour les autorisations dynamiques

Un trojan bancaire standard

A l’exception de sa capacité à déjouer les fonctions de sécurité d’Android 6 et de l’utilisation du protocole Websocket, Gugi est un trojan bancaire traditionnel. Il superpose des fenêtres de phishing sur les écrans des applications afin de voler les identifiants des applications bancaires pour mobile ou les données de cartes de crédit. Il vole également les SMS, les contacts, réalise des requêtes USSD et peut envoyer des SMS sur instruction du serveur de commande.

La famille Trojan-Banker.AndroidOS.Gugi est connue depuis décembre 2015 environ. La découverte de la modification Trojan-Banker.AndroidOS.Gugi.c remonte à juin 2016.

Profil des victimes

La famille de trojan Gugi attaque principalement des utilisateurs établis en Russie : 93 % des utilisateurs attaqués à ce jour résident dans ce pays. Pour le moment, ce trojan a le vent en poupe : le nombre de victimes enregistrées au cours de la première quinzaine d’août 2016 est dix fois supérieur à celui des victimes d’avril 2016.

Evolution du trojan bancaire Gugi capable désormais de déjouer la protection d'Android 6

Nombre d’utilisateurs uniques attaqués par Trojan-Banker.AndroidOS.Gugi.

Nous allons prochainement publier un rapport détaillé sur la famille du malware Trojan-Banker.AndroidOS.Gugi, ses fonctions et son utilisation du protocole Websocket.

Tous les produits de Kaspersky Lab détectent toutes les modifications de la famille du malware Trojan-Banker.AndroidOS.Gugi malware.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *