Expertii Kaspersky Lab au descoperit o noua varianta a troianului mobil Svpeng care dispune de functionalitatea keylogging, o tehnica cel mai adesea asociata cu autorii atacurilor cu tinta precisa.Versiunea modificata a troianului sustrage textul introdus, cum ar fi datele bancare, prin compromiterea serviciilor Android pentru persoane cu dizabilitati, disponibile in categoria Accesibilitate. Aceasta metoda ii permite, de asemenea, troianului sa-si acorde alte drepturi si sa contracareze incercarile de a-l dezinstala. Cercetatorii avertizeaza ca simpla actualizare a programelor dispozitivelor nu le protejeaza de acest troian.
Serviciile din categoria Accesibilitate se refera, in general, la modificari aduse interfetei pentru utilizatori (UI) pentru a veni in sprijinul utilizatorilor cu dizabilitati sau al celor care sunt temporar in incapacitatea de a interactiona la capacitate normala cu un dispozitiv, de exemplu atunci cand sunt la volan. In iulie 2017, cercetatorii Kaspersky Lab au descoperit ca Svpeng este acum in stadiul in care profita de acest sistem pentru a fura textul introdus in alte aplicatii de pe dispozitiv si a-si acorda o serie de drepturi suplimentare.
Troianul este distribuit prin intermediul site-urilor malware, sub forma unei false aplicatii flash player. La activare, cere permisiunea de a folosi serviciile din categoria Accesibilitate. Prin folosirea acestora, troianul poate sa obtina urmatoarele: sa aiba acces la interfetele altor aplicatii, sa realizeze screenshot-uri de fiecare data cand o tasta este atinsa si sa vada datele de autentificare ale conturilor bancare. Poate sa-si acorde drepturi de administrator si sa acopere alte aplicatii. Capacitatea de acoperire este necesara deoarece anumite aplicatii, in special cele bancare, nu permit realizarea de screenshot-uri. In asemenea cazuri, troianul plaseaza fereastra phishing deasupra aplicatiei respective. Cercetatorii au descoperit mai multe URL-uri phishing care tintesc aplicatiile bancare ale unor importante banci de retail europene.
Mai departe, se poate instala singur ca aplicatia SMS implicita, poate sa trimita si sa primeasca SMS-uri, sa realizeze apeluri, sa citeasca informatiile despre contactele existente in telefon si sa blocheze orice tentativa de eliminare a drepturilor de administrator, impiedicand, astfel, dezinstalarea. Tehnicile troianului functioneaza chiar si pe dispozitive actualizate, care au instalata ultima versiune a sistemului de operare Android si toate actualizarile de securitate instalate.
Troianul nu este inca lansat la scara larga, iar numarul total al atacurilor este mic. Cele mai multe atacuri detectate au fost in Rusia (29%), Germania (27%), Turcia (15%), Polonia (6%) si Franta (3%). Acestea includ atacurile phishing.
”Folosirea keylogging-ului si a serviciilor din categoria Accesibilitate reprezinta o noua dezvoltare pentru malware-ul de mobile banking si nu ne mira ca Svpeng este liderul acestui segment”, spune Roman Unuchek, Senior Malware Analyst la Kaspersky Lab. “Familia malware Svpeng este cunoscuta pentru capacitatea de inovare, care o face una dintre cele mai periculoase familii existente. A fost printre primele care au derulat atacuri asupra SMS-urilor bancare, care au folosit pagini phishing pentru a se substitui altor aplicatii, au interceptat datele de autentificare si care au blocat dispozitivele pentru a cere bani. De aceea este atat de important sa monitorizam si sa analizam fiecare versiune noua.”
Kaspersky Lab le recomanda utilizatorilor sa instaleze pe dispozitive o solutie de securitate eficienta, cum este Kaspersky Internet Security for Android, sa verifice intotdeauna ca aplicatiile sunt create de un dezvoltator cunoscut si sa nu descare nimic ce pare suspect sau a carui sursa nu o pot verifica. Nu in cele din urma, utilizatorii trebuie sa aiba grija atunci cand le acorda aplicatiilor permisiuni suplimentare.
Pentru mai multe informatii despre ultimele versiuni ale troianului Svpeng, puteti citi articolul de pe Securellist.com. Toate produsele Kaspersky Lab detecteaza acest troian ca Trojan-Banker.AndroidOS.Svpeng.ae.
