Stručnjaci iz kompanije Kaspersky Lab nedavno su otkrili modifikaciju Gugi bankarskog trojanca, koji ima sposobnost da zaobiđe bezbednosne elemente na Android 6 operativnom sistemu, kreirane sa ciljem da blokiraju „fišing“ i ransomware napade. Modifikovan trojan virus „tera“ korisnike da mu daju pravo da zameni prave aplikacije, šalje i gleda SMS poruke, pravi pozive i izvršava druge maliciozne radnje. Kriminalci distribuiraju virus koristeći tehniku socijalnog inženjeringa, a njegova rasporostranjenost raste velikom brzinom: u periodu između aprila i početka avgusta 2016. godine, broj žrtava ovog virusa povećao se deset puta.
Cilj Gugi trojanca jeste da ukrade korisničke podatke sa bankovnih računa tako što će zameniti prave bankarske aplikacije sa „fišing“ aplikacijama. Krajem 2015. godine, puštena je u rad nova verzija Android operativnog sistema (Android 6) koja sadrži određene bezbednosne elemente koji blokiraju takve napade. Između ostalog, aplikacijama je sada neophodno odobrenje korisnika kako bi mogle da kontrolišu druge aplikacije, kao i za aktivnosti kao što je slanje SMS poruka i pravljenje poziva.
Međutim, stručnjaci za borbu protiv malvera iz kompanije Kaspersky Lab detektovali su modifikaciju Gugi bankarskog trojanca koja uspešno može da zaobiđe ove nove bezbednosne elemente. Početna infekcija modifikovanim trojan virusom sprovodi se pomoću tehnike socijalnog inženjeringa, obično uz pomoć spam SMS poruka koje podstiču korisnike da posete maliciozni link. Nakon što je instaliran na uređaju, trojan virus pokušava da dobije pristupna prava koja su mu neophodna za dalje inficiranje. Kada je spreman, malver prikazuje sledeće obaveštenje na korisničkom ekranu (na engleskom jeziku): „neophodna su dodatna prava kako biste mogli da nastavite da koristite telefon”, pri čemu postoji samo jedan taster na koji korisnik može da klikne, i na taj način dozvoli malveru da preuzme njegov telefon.
Kada korisnici kliknu na ovaj taster, prikazuje im se ekran koji traži od njih dozvolu za upravljanje aplikacijama. Nakon dobijanja ove dozvole, trojan virus će blokirati telefon uz poruku u kojoj traži „administratorsk prava“, kao i dozvolu da šalje i čita SMS poruke, kao i da pravi pozive. Ako trojan virus ne dobije sve dozvole koje su mu neophodne, on će u potpunosti blokirati inficiran uređaj. Ako se to dogodi, jedina opcija za korisnika je da fabrički resetuje uređaj i pokuša da izbriše virus, međutim to je veoma teško ako je trojan virus prethodno dobio „administratorska prava“.
Osim sposobnosti da zaobiće nove bezbednosne elemente, Gugi je klasičan bankarski trojanac: on krade finansijske informacije, SMS poruke i kontakt podatke, pravi USSD zahteve i šalje SMS poruke u skladu sa zahtevima koji stižu sa komandnog servera. Do sada je 93 odsto korisnika koji su bili žrtve Gugi trojan virus bilo iz Rusije, ali je broj njegovih žrtava u konstantnom porastu. U prvoj polovini avgusta 2016. godine zabeleženo je deset puta više žrtava u poređenju sa aprilom 2016. godine.