Expertii Kaspersky Lab au descoperit recent o varianta a troianului pentru dispozitive mobile, Svpeng, in reteaua de publicitate Google, AdSense.Svpeng a fost detectat la mijlocul lunii iulie, pe dispozitive cu Android apartinand unui numar de aproximativ 318.000 de utilizatori, cu o rata de infectare ajungand la 37.000 de victime intr-o zi.
Atacatorii, care urmareau sa fure informatii despre cardurile bancare si date cum ar fi persoanele de contact si istoricul apelurilor, se foloseau de o eroare din Google Chrome pentru Android. In momentul acesta, avand in vedere ca Google a rezolvat problema, expertii Kaspersky Lab pot dezvalui detalii despre atac.
Primul caz cunoscut al unui atac cu Svpeng care exploateaza aceasta eroare din Chrome pentru Android s-a produs la mijlocul lunii iulie, asupra unei publicatii online de stiri din Rusia. In timpul atacului, troianul s-a descarcat pe dispozitivele cu Android ale vizitatorilor site-ului.
Analizand atacul, cercetatorii Kaspersky Lab au descoperit ca aceasta campanie a inceput cu o reclama infectata, plasata pe Google AdSense. Reclama se afisa “normal” pe paginile web care nu erau infectate, iar troianul se descarca doar atunci cand utilizatorul accesa pagina prin intermediul browser-ului Chrome, de pe un dispozitiv cu Android. Svpeng se deghiza intr-un update de browser sau o aplicatie populara, pentru a convinge utilizatorii sa aprobe instalarea. Odata ce programul malware era lansat, disparea din lista aplicatiilor instalate si solicita utilizatorului drepturi de administrator. Acest lucru facea ca programul malware sa fie si mai dificil de detectat.
Se pare ca atacatorii reusisera sa gaseasca o cale de a evita anumite functii cheie de securitate ale Google Chrome pentru Android. In mod normal, atunci cand un fisier APK este descarcat pe un dispozitiv mobil, prin intermediul unui link extern, browser-ul afiseaza un mesaj de avertizare ca este descarcat un obiect potential periculos. In acest caz, infractorii au gasit o scapare de securitate care a permis fisierelor APK sa fie descarcate fara a-i avertiza pe utilizatori. In momentul detectarii erorii, Kaspersky Lab a anuntat imediat compania Google. Problema va fi remediata odata cu urmatoarea actualizare Google Chrome pentru Android.
“Cazul Svpeng confirma, din nou, importanta cooperarii dintre companii. Avem acelasi obiectiv, de a proteja utilizatorii de atacuri cibernetice, si este vital sa cooperam. Ne bucuram sa putem contribui la crearea unui sistem Android mai sigur si am vrea sa multumim Google pentru reactia prompta la raportul nostru. De asemenea, le recomandam utilizatorilor sa evite descarcarea unor aplicatii din surse nesigure si sa fie atenti la ce permisiuni li se cer si din ce motiv”, a spus Nikita Buchka, Malware analyst la Kaspersky Lab.
Kaspersky Lab le recomanda clientilor sa isi actualizeze Chrome-ul pentru Android cu ultima versiune, sa instaleze o solutie de securitate eficienta si sa fie atenti la instrumentele si tehnicile utilizate de autorii de programe malware pentru a-i pacali sa instaleze astfel de programe si sa accepte drepturi de acces la distanta asupra dispozitivului.
Troianul bancar pentru dispozitive mobile, Svpeng, este creat pentru a fura informatii despre carduri. De asemenea, colecteaza date despre istoricul apelurilor telefonice, mesaje text si multimedia, link-uri favorite din browser si persoane de contact. Svpeng ataca in principal tarile vorbitoare de limba rusa, dar are potential sa se raspandeasca la nivel global. Avand in vedere modul de distribuire a acestui program malware, milioane de pagini web din toata lumea sunt in pericol, multe dintre ele folosind AdSense pentru afisarea reclamelor.
