Kaspersky_logo Le cheval de Troie Gugi a été créé pour tenter de dérober les informations bancaires des utilisateurs sur Android en reproduisant des applications bancaires et en récupérant identifiants et mots de passe des utilisateurs.

Google a introduit avec Android 6.0 Marshmallow des mesures de sécurité spécifiques pour lutter contre le phishing et les ransomwares, comme la nécessité de demander l'autorisation de l'utilisateur pour ajouter une couche d'information à une application en cours et son approbation lorsqu'une application veut initier un appel ou envoyer un SMS, mais Kaspersky Lab indique avoir repéré une variante du malware Gugi qui est déjà capable de contourner ces défenses en forçant la main de l'utilisateur.

Le mode d'infection reste le SMS avec un lien vérolé et, une fois à bord de l'appareil, le malware réclame les permissions requises par un affichage qui ne présente que le bouton les validant. Si cette étape est réalisée, il affiche un écran "Trojan Device Administrator" réclamant les permissions pour les appels et les SMS.

S'il n'obtient pas ces permissions, l'appareil mobile est bloqué et inutilisable. Il faudra alors le redémarrer en safe mode et tenter de désinstaller le malware. Kaspersky Lab indique que la zone d'influence de  Gugi est essentiellement la Russie (plus de 90% des cas d'infection) mais que le nombre d'utilisateurs touchés est en forte augmentation.

Source : Kaspersky Lab