El troyano bancario roba credenciales financieras, SMS y contactos, haciendo solicitudes de USSD y envía mensajes de texto bajo la dirección del servidor de comando.
Kaspersky Lab anunció que descubrió una variación del troyano bancario para móviles, Gugi, que supera las nuevas características de seguridad de Android 6, que buscan bloquear ataques de phishing y ransomware. Esta variable obliga a los usuarios a otorgar el derecho de superponer aplicaciones genuinas, enviar y leer SMS, hacer llamadas y más. 
El objetivo de Gugi es robar las credenciales de la banca móvil de los usuarios sobreponiendo las apps bancarias con apps de phishing, y substraer detalles de tarjetas de crédito superponiendo la aplicación de la tienda de Google Play.
La infección inicial con la modificación del troyano se efectúa por medio de ingeniería social, usualmente vía SMS spam que invita a los usuarios a hacer clic en un enlace malicioso. Una vez instalado, el troyano busca obtener los derechos que requiere. Al estar listo, el malware muestra un aviso en la pantalla del usuario que dice: “Se requieren permisos adicionales para el funcionamiento de gráficos y ventanas”. Solo ofrece un botón como opción: “otorgar”.
Al hacer clic en el botón, el usuario ve una pantalla pidiendo autorización para sobreponer aplicaciones. Tras recibir este permiso, el troyano bloquea la pantalla del dispositivo con un mensaje solicitando derechos de “Administrador del Dispositivo”, y después pide permiso para enviar y leer SMS, así como realizar llamadas.
Si el troyano no recibe todos los permisos que necesita, bloquea completamente al dispositivo infectado. En caso de ser así, el usuario debe reiniciar el dispositivo en modo a prueba de errores- “safe mode”- e intentar desinstalar el malware, lo que es más complicado cuando el troyano ya ganó los derechos de “Administrador del Dispositivo”.
Roman Unuchek, Analista Sénior de Malware en Kaspersky Lab, precisó que aunque los sistemas operativos continuamente actualizan sus características de seguridad, los ciberdelincuentes son implacables en sus esfuerzos para evadirlos.
Al respecto, Kaspersky Lab recomienda a los usuarios de Android los siguientes pasos para protegerse del troyano Gugi:
- No otorgar derechos y permisos automáticamente cuando una aplicación se lo solicite, piense en qué y por qué se lo está pidiendo.
- Instale antimalware en todos los dispositivos y mantenga el software del sistema operativo actualizado.
- Evite hacer clic en enlaces dentro de mensajes de personas que no conozca o en mensajes no esperados de conocidos.
- Tenga precaución cuando visite páginas web: si algo parece un poco sospechoso, probablemente lo es.