Una actualización de Gugi, un troyano que toma cuentas bancarias en teléfonos inteligentes, ha reestructurado su funcionamiento para pasar por alto las características de seguridad de Android 6 diseñadas para bloquear los intentos de phishing y las infecciones ransomware.

El malware modificado forza a los usuarios a darle la capacidad de superponer aplicaciones genuinas, enviar y ver mensajes SMS, realizar llamadas, y mucho más. El software se distribuye a través de ingeniería social, por lo general con un SMS que anima a los usuarios a hacer clic en un enlace malicioso.

El troyano Gugi se orienta hacia el robo de credenciales bancarias en los móviles de los usuarios mediante la superposición de sus aplicaciones bancarias genuinas con aplicaciones falsificadas. El malware también intenta apoderarse de los detalles de las tarjetas de crédito haciendo uso del mismo truco de la superposición de la aplicación Google Play Store con código controlado por los atacantes.

La versión del sistema operativo Android 6 fue lanzada a finales del año pasado con características de seguridad diseñadas específicamente para bloquear este tipo de ataques. Entre otras cosas, las aplicaciones ahora necesitan el permiso del usuario para superponer otras aplicaciones, y para solicitar la aprobación de acciones como el envío de mensajes SMS y realizar llamadas.

Las modificaciones del troyano Gugi permiten al código malicioso eludir estos dos controles de seguridad.

Una vez instalado en el dispositivo, el troyano se dedica a conseguir los privilegios de acceso que requiere. Cuando está listo, el malware muestra el siguiente mensaje en la pantalla del usuario: "Se necesitan privilegios adicionales para trabajar con gráficos y ventanas." Sólo hay un botón: "Proporcionar".

Posteriormente se muestra una pantalla a los usuarios pidiendo que se autorice la superposición de aplicaciones. Después de recibir el permiso, el troyano bloquea la pantalla del dispositivo con un mensaje pidiendo privilegios con el mensaje "Administrador del dispositivo", antes de pedir permiso para enviar y ver mensajes de SMS y realizar llamadas. Si el troyano no recibe todos los permisos que necesita, bloquea completamente el dispositivo infectado.

El troyano bancario Gugi ha sido conocido desde diciembre de 2015, pero las versiones modificadas del mismo aparecieron en el radar de los investigadores de seguridad en junio de 2016.

La gran mayoría (93%) de los usuarios atacados por el troyano Gugi están ubicados en Rusia. Entre abril y principios de agosto de 2016 se registró un aumento de diez veces en el número de sus víctimas, según los investigadores de seguridad de Kaspersky Lab.

"Apreciamos la investigación de Kaspersky y sus esfuerzos para mantener a los usuarios de Android seguros. Somos conscientes de este problema y las aplicaciones en cuestión están siendo eliminadas de forma automática en todos los dispositivos con la verificación de aplicaciones habilitada. Las aplicaciones nunca fueron publicadas en Google Play."