A pesar de que Android 6 (Marshmallow) introdujo una nueva serie de medidas de seguridad para luchar en contra de los ataques de phishing y ransomware, los delincuentes constantemente encuentran maneras de saltar todas estas contramedidas con el objetivo de obtener información valiosa de los usuarios que les pueda servir. Tal es el caso del virus para dispositivos móviles Gugi, el cual va tras la información bancaria que pueda recolectar de sus víctimas.
Gugi fue descubierto recientemente por los expertos de Kaspersky lab, como una modificación del troyano original, capaz de obtener de parte de los usuarios los permisos necesarios para hacerse pasar como una aplicación genuina, enviar y leer SMS, hacer llamadas, y mucho más. Su propagación hasta el momento se ha dado por medio de la ingeniaría social que utilizan los cibercriminales para lograr acceder a los teléfonos de las víctimas.
El objetivo del troyano como tal, es robar las credenciales de la banca móvil de los usuarios sobreponiendo las aplicaciones bancarias con aplicaciones de phishing, y robar detalles de tarjetas de crédito superponiendo la aplicación de la tienda de Google Play. A finales de 2015, la versión 6 del sistema operativo de Android se lanzó al mercado con nuevas características de seguridad específicamente diseñadas a bloquear este tipo de ataques. Entre otras cosas, las aplicaciones ahora necesitan el permiso del usuario para superponer otras aplicaciones y solicitar aprobación la primera vez que quieran acceso a acciones como el envío de SMS y hacer llamadas.
No obstante, estas mejoras de seguridad, la última versión de Gugi es capaz de sobrepasar estas contramedidas de Google obteniendo de parte del usuario mismo los permisos que necesita. La infección inicia generalmente por medio de un mensaje de texto que incita con engaños al usuario a hacer clic en una dirección web. Una vez que Gugi se instala en el equipo inicia una etapa en la que trata de obtener los permisos que necesita solicitándolos al usuario en distintos momentos, hasta que este se los otorga posiblemente sin saber que se trata de un virus.
El troyano solicita los permisos que necesita al usuario como lo haría cualquier otra app. Si este no sabe lo que sucede los va a otorgar fácilmente
Con mensajes como de pantalla como “Se requieren permisos adicionales para el funcionamiento de gráficos y ventanas” Gugi busca la aprobación del usuario, ofreciendo un solo botón con la opción “otorgar”. Generalmente, Cuando el usuario hace clic en este botón, ve una nueva pantalla pidiéndole autorización para sobreponer aplicaciones. Después de recibir este permiso, el troyano bloquea la pantalla del dispositivo con un mensaje solicitando derechos de “Administrador del Dispositivo”, y después pide permiso para enviar y leer SMS y realizar llamadas.
En caso que el usuario se niegue a otorgar a Gugi todos los permisos que está solicitando, entonces esté tratará de bloquear completamente al dispositivo infectado. Si esto pasa, usualmente la única opción que tiene el usuario es de reiniciar el dispositivo en modo a prueba de errores “safe mode” e intentar desinstalar el troyano, una actividad que se hace más difícil si el troyano ya ha ganado los derechos de “Administrador del Dispositivo”.
En caso de obtener los permisos que necesita, Gugi tratará de obtener del usuario toda la información personal y bancaria que pueda, para enviarla periódicamente a los delincuentes. Hasta el momento se estima que más del 90% de los ataques de este virus se han producido en Rusia, pero su expansión aumenta, por lo cual se hace necesario ser muy precavidos a la hora de abrir enlaces que nos envíen desconocidos, o que nos lleguen por correos y mensaje de texto.
Igualmente, cada vez que una aplicación solicite permisos de algún tipo, se debe pensar muy bien las razones por las cuales esta aplicación los requiere. En caso de no estar seguro, siempre se puede denegar el permiso. La aplicación podría llegar a pedirlo nuevamente en el futuro, pero podríamos informarnos antes de otorgarlo.