Una modificación del troyano Gugi elude las características de seguridad de Android 6.0 Marshmallow

Este troyano modificado tiene la capacidad de adquirir derechos sobre aplicaciones, enviar y ver SMS o hacer llamadas, y de robar las credenciales bancarias de los dispositivos de los usuarios con la superposición de ventanas fraudulentas a las de aplicaciones verdaderas mediante 'phishing'.

Además, Gugi es capaz de apoderarse de los detalles de las tarjetas de crédito superponiéndose a la aplicación de la tienda de Google Play, como ha informado Kaspersky Lab en un comunicado.

A finales de 2015, se lanzó la versión 6 de Android con nuevas características de seguridad diseñadas específicamente para bloquear estos ataques. Entre las novedades, ahora las aplicaciones necesitan tener permisos de usuarios para superponer otras aplicaciones, además de pedir aprobación para determinadas acciones como enviar mensajes o hacer llamadas cuando se hacen por primera vez.

PROCEDIMIENTO

La modificación del troyano Gugi descubierta puede pasar por alto con éxito estas dos especificaciones de seguridad. La infección inicial con este troyano modificado tiene lugar a través de ingeniería social, normalmente mediante mensajes 'spam' que animan a los usuarios a hacer clic en enlaces maliciosos. Una vez que está instalado en el dispositivo, el troyano consigue los derechos de usuarios necesarios.

Cuando ya lo ha conseguido, el 'malware' se activa y hace aparecer una ventana en la pantalla del dispositivo del usuario con el siguiente mensaje: "Se requieren derechos adicionales para el funcionamiento de gráficos y ventanas". Únicamente, aparece un botón para pulsar con la palabra "aceptar".

Cuando el usuario pulsa este botón, aparece una nueva ventana en la que se pide autorizar la superposición de la aplicación. Tras recibir el permiso, el troyano bloquea la pantalla del dispositivo con un mensaje pidiendo derechos de administrador del dispositivo. Posteriormente pide permiso para enviar y ver SMS y realizar llamadas.

Si el troyano no recibe todos los permisos necesarios, bloqueará completamente el dispositivo infectado. Si esto ocurre, la única opción que tiene el usuario es reiniciar el dispositivo en modo seguro y tratar de desinstalar el troyano, actividad que se hace complicada si el troyano ha obtenido los derechos de administrador.

Al margen de estas características, Gugi es un troyano bancario común: roba credenciales financieras, mensajes y contactos, realiza solicitudes USSD (Servicio Suplementario de Datos no Estructurados) y envía SMS según el servidor de comando.

Hasta la fecha, el 93% de los usuarios atacados por el troyano Gugi pertenecían a Rusia, pero el número de víctimas sigue aumentando, como han indicado desde Kaspersky Lab. En la primera mitad del mes de agosto de 2016, el número de víctimas se multiplicó por diez respecto al mes de abril del mismo año.

"La ciberseguridad es una carrera sin fin. Los sistemas operativos como Android están continuamente actualizando sus aplicaciones de seguridad para ponérselo más difícil a los cibercriminales y más seguro a los usuarios; los ciberdelincuentes son implacables en sus intentos de encontrar maneras de evitar la seguridad; y la industria de seguridad está igualmente ocupada en evitar que éstos tengan éxito", ha explicado el analista senior de Malware en Kaspersky Lab, Roman Unucheck.

CONSEJOS DE SEGURIDAD

Desde Kaspersky Lab recomiendan a los usuarios de Android tener en cuenta los siguientes consejos para protegerse del troyano Gugi y de otras amenazas:

1.No aceptes automáticamente los derechos de permiso cuando una aplicación lo pida. Primero piensa qué se está pidiendo y por qué solicita eso.

2.Instala una solución 'antimalware' en todos los dispositivos y mantén el sistema operativo actualizado.

3.Evita hacer clic en enlaces de mensajes de gente que no conoces o en mensajes que no esperas.

4.Ten cuidado en todo momento cuando visitas páginas web: si algo parece sospechoso, seguramente lo sea.