Mã độc Gugi vượt qua biện pháp ngăn ngừa mã độc của Android 6

08:57 | 14/09/2016

Gugi, một loại “ngựa thành Troa” chuyên đánh cắp tài khoản ngân hàng, đã nâng cấp để có thể vượt qua các tính năng bảo mật của Android 6 - vốn được thiết kế để ngăn chặn mã độc.



Phiên bản mới của mã độc này buộc người dùng cho phép nó chèn giao diện lên phía trên ứng dụng tốt, gửi và nhận SMS, thực hiện các cuộc gọi,… 

Mã độc này cũng được phát tán bằng thủ đoạn lừa đảo thông thường như gửi tin nhắn rác nhử người dùng nhấn vào liên kết độc hại. Gugi đánh cắp thông tin đăng nhập của người dùng bằng cách đặt giao diện của nó đè lên giao diện của ứng dụng ngân hàng điện tử. Mã độc này cũng tìm cách đánh cắp thông tin thẻ tín dụng bằng cách chèn giao diện lên giao diện của ứng dụng Google Play Store.

Hệ điều hành Android phiên bản 6 ra mắt năm 2015, với các tính năng bảo mật được thiết kế để chặn các tấn công kiểu như trên. Với các tính năng mới, ứng dụng phải được phép của người dùng mới có thể chèn lên giao diện của ứng dụng khác; phải xin người dùng cấp phép trước khi thực hiện các tác vụ như gửi SMS và gọi điện. Gugi đã sửa đổi để  vượt qua cả hai biện pháp an toàn đó.
Sau khi được cài vào máy, mã độc này lấy các quyền truy cập cần thiết và khi đã sẵn sàng, nó sẽ hiển thị một thông báo “Cần các quyền bổ sung để làm việc với đồ hoạ và các cửa sổ” với một nút lệnh duy nhất "Provide" (cung cấp).

Sau đó, người dùng nhận được thông báo yêu cầu cấp quyền chèn lên giao diện của các ứng dụng khác. Nhận được quyền đó xong, mã độc khoá màn hình thiết bị với một thông báo yêu cầu quyền "Trojan Device Administrator" rồi tiếp tục yêu cầu quyền gửi và nhận SMS, thực hiện cuộc gọi. Nếu không nhận được tất cả các quyền cần thiết, Gugi sẽ khoá toàn bộ thiết bị.

Gugi được biết tới từ tháng 12/2015 và phiên bản có thể chỉnh sửa của nó được các nhà nghiên cứu bảo mật đưa vào tầm ngắm vào tháng 6/2016. Theo Kaspersky Lab, số nạn nhân của Gugi đã tăng 10 lần trong khoảng thời gian từ tháng 4 đến tháng 8/2016.