Gugi网银木马可绕过安卓6的安全机制

标签:木马

访客:5954  发表于:2016-09-20 10:59:24

专家发现一种Gugi网银木马变种能够绕过安卓6系统用于拦截钓鱼攻击和勒索软件攻击的安全机制。这种木马变种会强迫用户赋予其覆盖真实应用的权限,并且具有发送和浏览短信,拨打电话等功能。这种木马变种通过社交工程手段进行传播,而且网络罪犯使用这种恶意软件进行攻击的速度增长很快:从2016年4月至8月初,这种恶意软件的受害者数量增长了十倍。

Gugi网银木马可绕过安卓6的安全机制

Guqi木马的目的是利用钓鱼应用,覆盖真正的银行应用,从而窃取用户的在线银行登陆凭证。此外,还会覆盖Google Play应用商店应用,获取用户的信用卡信息。2015年末,安卓操作系统6.0发布。这款系统采用了新的安全功能,专门用于拦截此类攻击。除了其他改进外,新系统下的应用需要获取用户的允许才能覆盖其他应用。此外,应用在首次执行一些行为如发动短信和拨打电话时,也需要得到用户的许可。

卡巴斯基实验室的反恶意软件专家发现一种Guqi木马的变种,能够成功绕过上述两种安全功能。

这种木马变种的初始感染主要通过社交工程手段,通常是利用垃圾短信要求用户点击一个恶意链接。一旦安装到设备上,木马会开始获取自己想要获得的权限。准备完成后,恶意软件会在屏幕上显示:“需要额外的权限显示图形和窗口”。而且只有一个按钮出现,就是:“允许权限”。

当用户点击按钮后,屏幕上会出现一个页面,要求用户授权应用覆盖。获取允许后,木马会屏蔽设备的屏幕,并显示一条要求“木马设备管理员”权限的信息,要求用户赋予发送和查看短信以及拨打电话的权限。

如果木马没有获取到其要求的权限,会完全锁定受干扰设备。如果这种情况发生,用户唯一的解决方法是将设备重启到安全模式,试图卸载该木马。如果木马已经获取到“木马识别管理员”权限,卸载也将非常困难。

除了能够绕过系统的安全功能和其他一些功能外,Gugi是一种典型的网银木马。它能够窃取金融数据、短信和联系人信息,发送USSD请求,在命令服务器的控制下发送短信。截止到目前,遭受Gugi木马攻击的用户中有93%都位于俄罗斯,但是受害者的数量在持续上升。2016年8月上旬,该木马的受害者数量较2016年4月相比,增长了十倍。

卡巴斯基实验室高级恶意软件分析师Roman Unucheck说:“网络安全是一场永远不会终止的竞赛。操作系统如安卓会不断升级自己的安全功能,让网络罪犯更难进行攻击,同时让用户变得更为安全。网络罪犯则会不停寻找绕过这些安全功能的手段,而安全行业也在想尽办法让网络罪犯无法成功。这次发现的Gugi变种就是一个很好的例子。曝光这种威胁后,我们就可以消除它带来的威胁,帮助用户保护自己的设备和数据安全。”

卡巴斯基实验室建议安卓设备用户采取以下措施抵御Gugi木马和其他恶意软件威胁:

当应用请求权限时,不要轻易允许这些权限——请仔细想一下这些应用要求的是什么权限以及为什么要求这种权限。

在所有设备上都安装反恶意软件解决方案,同时保持操作系统软件更新。

不要点击来自不认识的人发送的信息中的链接,也不要轻易点击认识的人突然发来的信息中的链接。

在访问网站时,时刻保持警惕:如果发现有任何可疑之处,很可能该网站确实存在问题。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");