Мобильный банковский троян Svpeng обзавелся кейлоггером

02.08.2017 | 16:45
Новая версия трояна обнаружена в середине июля, пишет в своем блогпосте Роман Унучек, старший антивирусный эксперт «Лаборатории Касперского». Для кражи вводимого текста используется подсистема «Специальные возможности», встроенная в Android. Она адаптирует интерфейс приложений для людей с ограниченными возможностями и водителей автомобиля.

Унучек хорошо известен своими исследованиями Android-зловредов. Ранее этим летом он помог выявить замаскированные трояны Ztorg и Dvmap в магазине приложений Google Play.

Новая версия Svpeng, пишет эксперт, для начала проверяет язык интерфейса устройства. Если он не русский, то зловред начинает атаку, запрашивая разрешение на использование специальных возможностей.

«Злоупотребление данной привилегией позволяет зловреду выполнять множество вредоносных действий: предоставляет себе права администратора устройства, выдает себе права на показ своих окон поверх остальных приложений, устанавливает себя в качестве SMS-приложения по умолчанию и предоставляет себе несколько динамических разрешений, которые позволяют получать и отправлять SMS-сообщения, совершать вызовы и просматривать список контактов», — пишет Унучек.

Более того, используя полученные возможности, троянец блокирует попытки лишить его прав администратора устройства, предотвращая собственную деинсталляцию.

После захвата контроля, Svpeng получает возможность перехватывать вводимый текст из других приложений и делать скриншоты. Вся украденная информация незамедлительно переправляется на сервер управления злоумышленников.

В ходе исследования Унучеку удалось перехватить зашифрованный конфигурационный файл, отправляемый с сервера управления. По словам эксперта, список целей Svpeng включает мобильные приложения PayPal и eBay, а также приложения нескольких десятков банков из Великобритании, Германии, Турции, Австралии, Франции, Польши и Сингапура. Svpeng также крадет данные из бонусного приложения Speedway, которое выпускается одноименной американской сетью автозаправок.

Кроме того, по команде с управляющего сервера зловред умеет:

- Отправлять SMS;

- Собирать информацию (контакты, установленные приложения и журналы вызовов);

- Копировать с устройства все SMS-сообщения;

- Открывать URL;

- Перехватывать входящие SMS.

Новая версия зловреда, получившая название Trojan-Banker.AndroidOS.Svpeng.ae, поразила пока не так много пользователей, отмечает Унучек. Но география распространения включает уже 23 страны, в том числе Россию, Германию, Турцию, Польшу, Францию. Троян распространяется на вредоносных сайтах под видом Flash-проигрывателя.

Первые представители семейства Svpeng были обнаружены исследователями «Лаборатории Касперского» в 2013 году. Зловреды паразитировали на SMS-банкинге, а позже блокировали мобильные устройства, требуя выкуп. Одна из версий, например, сообщала пользователю, что устройство использовалось для просмотра порнографии и потому заблокировано ФБР, требуя 200 долларов выкупа.

Унучек отмечает, что не удивлен внедрением авторами Svpeng новых продвинутых функций для кражи информации. Это семейство вредоносного ПО отличается «новаторским подходом», пишет эксперт.
Мобильный троян, банковский троян, Svpeng кейлоггер
По материалам Vedomosti.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код