29 septembre 2016

Le cheval de Troie bancaire Gugi déjoue les nouvelles fonctions de sécurité d’Android 6

Les experts de Kaspersky Lab ont découvert une modification du cheval de Troie bancaire Gugi permettant à celui-ci de contourner les nouvelles fonctions de sécurité d’Android 6, destinées à bloquer les attaques de phishing et de ransomware.

Les experts de Kaspersky Lab ont découvert une modification du cheval de Troie bancaire Gugi permettant à celui-ci de contourner les nouvelles fonctions de sécurité d’Android 6, destinées à bloquer les attaques de phishing et de ransomware. Le cheval de Troie modifié contraint l’utilisateur à lui octroyer le droit de :
  • Se superposer à des applications authentiques,
  • Envoyer et lire des SMS,
  • Passer des appels, etc.
S’il ne reçoit pas toutes les autorisations dont il a besoin, il bloque entièrement l’appareil infecté. Gugi se propage par des techniques d’ingénierie sociale et son utilisation par des cybercriminels monte en flèche : entre avril et début août 2016, le nombre de ses victimes a décuplé.

Le-cheval-de-Troie-bancaire.png

Comment fonctionne-t-il ?

Le cheval de Troie Gugi a pour but de dérober les identifiants de banque sur le mobile des utilisateurs, en recouvrant leurs applications bancaires authentiques par des logiciels de phishing, et d’intercepter des numéros de carte de crédit en se superposant à Google Play Store. 

Fin 2015 la version 6 du système d’exploitation Android a été lancée avec de nouvelles fonctions de sécurité spécialement conçues pour bloquer ce type d’attaques. Les applications ont désormais besoin de l’autorisation de l’utilisateur pour se superposer à d’autres et de demander sa permission pour des actions telles que l’envoi de SMS et le déclenchement d’appels téléphoniques lors de leur première tentative d’accès.

Les experts antimalware de Kaspersky Lab ont découvert une modification du cheval de Troie Gugi qui lui permet de contourner avec succès ces deux nouvelles fonctions.

L’infection initiale par le cheval de Troie modifié intervient par des techniques d’ingénierie sociale, généralement un spam sous forme de SMS incitant le destinataire à cliquer sur un lien malveillant. Une fois installé sur le mobile, le cheval de Troie s’attache à obtenir les droits d’accès dont il a besoin. Lorsqu’il est prêt, le malware affiche un message indiquant que des droits supplémentaires sont nécessaires pour opérer sur les graphismes et les fenêtres et ne comportant qu’un seul bouton destiné à accorder ces droits. 

Lorsque l’utilisateur clique sur ce bouton, un écran lui demande d’autoriser la superposition d’applications. Une fois cette permission obtenue, le cheval de Troie bloque l’écran du mobile avec un message demandant les droits « Trojan Device Administrator », puis l’autorisation d’envoyer et de lire des SMS et de passer des appels. 

Si le cheval de Troie ne reçoit pas toutes les autorisations dont il a besoin, il bloque entièrement l’appareil infecté. En pareil cas, la seule solution pour l’utilisateur est de redémarrer en mode sans échec pour tenter de désinstaller le cheval de Troie, une opération qui est rendue plus difficile si ce dernier a déjà obtenu les droits « Trojan Device Administrator ».

En dehors du contournement de ces mesures de sécurité et de quelques autres fonctionnalités, Gugi est un cheval de Troie bancaire typique, volant des identifiants financiers, des SMS et des contacts, effectuant des requêtes USSD et envoyant des SMS d’après les instructions du serveur de commande. A ce jour, 93 % des utilisateurs attaqués par Gugi se trouvent en Russie mais le nombre de ses victimes est en hausse. Dans la première quinzaine d’août 2016, ce nombre a décuplé par rapport à avril 2016.

« La cybersécurité est une course sans fin. Les systèmes d’exploitation comme Android mettent constamment à jour leurs fonctions de sécurité pour compliquer la tâche des cybercriminels et mieux protéger leurs utilisateurs. Les cybercriminels tentent sans relâche de trouver des moyens de contourner ces mesures et le secteur de la sécurité met autant d’énergie à les en empêcher. La découverte du cheval de Troie Gugi modifié en est un parfait exemple. En révélant la menace, nous pouvons la neutraliser et contribuer à la protection des utilisateurs, de leurs équipements et de leurs données », commente Roman Unucheck, analyste senior en malware pour Kaspersky Lab.

Kaspersky Lab conseille aux utilisateurs d’Android de prendre les précautions suivantes pour se protéger contre le cheval de Troie Gugi et autres malwares :

  • N’accordez pas automatiquement des droits et autorisations à une application lorsqu’elle vous le demande : réfléchissez à ce qui vous est demandé et pour quelle raison. 
  • Installez une solution antimalware sur tous vos appareils et mettez à jour votre système.
  • Evitez de cliquer sur des liens dans des messages provenant d’expéditeurs inconnus ou des messages suspects de personnes que vous connaissez.
  • Redoublez de prudence lorsque vous consultez des sites web : si quelque chose vous paraît même légèrement suspect, c’est probablement à juste titre.

La famille de malware Trojan-Banker.AndroidOS.Gugi est connue depuis décembre 2015 environ, la modification Trojan-Banker.AndroidOS.Gugi.c ayant été découverte pour la première fois en juin 2016. Les produits Kaspersky Lab en détectent toutes les variantes.

Pour en savoir plus sur la façon dont le cheval de Troie Gugi contourne les fonctions de sécurité d’Android 6, consultez nos blogposts :

Articles related to Actualités Virus