Opasni bankarski trojanac Svpeng sada radi i kao keylogger i sprečava pokušaje da bude uklonjen sa uređaja

Mobilni telefoni, 02.08.2017, 10:00 AM

Opasni bankarski trojanac Svpeng sada radi i kao keylogger i sprečava pokušaje da bude uklonjen sa uređaja

Stručnjaci Kaspersky Laba otkrili su sredinom prošlog meseca novu verziju poznatog mobilnog bankarskog trojanca Svpeng. Nova verzija malvera dobila je novu funkcionalnost - malver sada radi i kao keylogger koji omogućava napadačima da od žrtava kradu poverljive podatke.

Nova funkcija se oslanja na Accessibility Services, funkciju Androida koja pomaže korisnicima sa invaliditetom, kao i onima koji trenutno nisu u mogućnosti da rukuju uređajem (npr. vozači).

Ova novina omogućava Svpengu ne samo da krade uneti tekst iz aplikacija instaliranih na uređaju i da beleži sve što korisnik kuca, već mu obezbeđuje i više dozvola i prava koje trojanac koristi da bi sprečio žrtve da ga uklone sa uređaja.

Krajem prošle godine, Svpeng je inficirao više od 318000 Android uređaja širom sveta za samo dva meseca zloupotrebljavajući Google AdSense reklame za širenje.

Pre dva meseca, bezbednosni istraživači upozorili su na mogućnost Cloak i Dagger napada, koji koristi pogodnosti usluga pristupačnosti (Accessibility Services) i koji može da omogući napadačima da krišom preuzmu potpunu kontrolu nad inficiranim uređajima i krađu podataka korisnika.

Nova verzija Svpenga do sada je primećena u 23 zemlje. Najviše napadnutih korisnika je u Rusiji, Nemačkoj, Turskoj, Poljskoj i Francuskoj. Iako je najviše inficiranih uređaja u Rusiji, ruski korisnici ne moraju da brinu jer trojanac ne radi na uređajima na kojima je podrazumevani jezik ruski. To je tipično za ruske sajber kriminalce koji na taj način izbegavaju probleme sa vlastima.

Trojanac najpre proverava jezik uređaja. Ako je jezik ruski, malver dalje neće biti aktivan - ovo je posredni dokaz da iza malvera stoje ruski sajber kriminalci.

Svpeng je oduvek poznat kao inovativni malver. Od kada se pojavio 2013. godine, Svpeng je bio među prvima koji je napadao SMS banking, fišing stranicama prekrivao druge aplikacije da bi ukrao lozinke, i blokirao uređaje da bi ucenjivao žrtve. Prošle godine, sajber kriminalci su distribuirali Svpeng preko AdSensea pomoću ranjivosti u broweru Chrome. Zbog svoje inovativnosti, Svpeng je jedan od najopasnijih mobilnih malvera, zbog čega se pažljivo prati pojava novih verzija ovog malvera.

Kao što smo napomenuli, kada se pokrene Svepeng najpre proverava jezik uređaja. Ako nije ruski, trojanac traži dozvolu za korišćenje usluga pristupačnosti. Zloupotrebljavajući ovu privilegiju, malver može da uradi mnogo toga. On daje sebi administratorska prava, prikazuje se preko drugih aplikacija, postaje podrazumevana SMS aplikacija, obezbeđuje sebi neke dinamičke dozvole koje uključuju mogućnosti za slanje i primanje SMS poruka, obavljanje poziva i čitanje kontakata. Trojanac može da blokira sve pokušaje da mu se oduzmu administratorska prava i samim tim da spreči pokušaje uklanjanja sa uređaja. Pored toga, trojanac blokira i sve pokušaje da se daju ili oduzmu administratorska prava i drugim aplikacijama.

Koristeći usluge pristupačnosti trojanac pristupa korisničkom interfejsu drugih aplikacija i krade podatke iz njih, kao što su nazivi elemenata interfejsa i njihov sadržaj, ali i uneti tekst. Pored toga, Svpeng pravi snimke ekrana svaki put kada korisnik pritisne taster i šalje ih serveru koji je pod kontrolom sajber kriminalaca. On podržava ne samo standardnu Android tastaturu već i nekoliko drugih tastatura.

Neke aplikacije, uglavnom aplikacije banaka, ne dozvoljavaju slikanje ekrana kada se nalaze na vrhu. U tom slučaju, trojanac ima drugu opciju za krađu podataka - on crta svoj fišing prozor iznad napadnute aplikacije. Zanimljivo je da koristi usluge pristupačnosti da bi saznao koja je aplikacija na vrhu.

Dešifrovanjem presretnutog kriptovanog konfiguracionog fajla koji je Svpeng dobio sa svog komandno-kontrolnog servera, stručnjaci Kaspersky Laba su uspeli da otkriju koje aplikacije trojanac napada i da dođu do URL-ova fišing stranica, ali su otkrili i koje antivirusne aplikacije trojanac pokušava da blokira.

Svpeng kao i većina mobilnih bankarskih malvera, prekriva neke Googleove aplikacije da bi ukrao informacije o platnim karticama.

Konfiguracioni fajl sadrži fišing URL-ove za PayPal i eBay mobilne aplikacije i URL-ove za aplikacije banaka iz različitih zemalja. U konfiguracionom fajlu je još jedna aplikacija - Speedway, koja je nagradna, a ne finansijska aplikacija. Svpeng svejedno i nju prekriva fišing prozorom da bi ukrao email adresu i PIN kod.

Svpeng se širi sa malicioznih web sajtova kao lažni Flash Player. Ova taktika funkcioniše i na ažuriranim uređajima sa najnovijom verzijom Androida i svim instaliranim bezbednosnim ažuriranjima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sajber špijunaža: Mobilni spyware odveo istraživače do Libana

Sajber špijunaža: Mobilni spyware odveo istraživače do Libana

Fondacija za elektronske granice (Electronic Frontier Foundation, EFF) i kompanija Lookout otkrile su špijunsku kampanju čiji su ciljevi bili aktivi... Dalje

Google uklonio 53 aplikacije iz Play prodavnice jer su sadržale adware koji krade Facebook lozinke

Google uklonio 53 aplikacije iz Play prodavnice jer su sadržale adware koji krade Facebook lozinke

Google je uklonio 53 aplikacije iz svoje Play prodavnice zbog toga što su širile novi malver nazvan GhostTeam koji je može da krade lozinke za Face... Dalje

Namerno usporavanje iPhonea ćete moći da onemogućite u sledećoj verziji iOS

Namerno usporavanje iPhonea ćete moći da onemogućite u sledećoj verziji iOS

U intervjuu koji je dao američkoj televizijskoj mreži ABC izvršni direktor Applea Tim Kuk se još jednom izvinio zbog namernog usporavanja iPhonea ... Dalje

Moćni Android trojanac špijunira korisnike na način koji do sada nije viđen

Moćni Android trojanac špijunira korisnike na način koji do sada nije viđen

Ekosistem Androida je neprestano izložen napadima novih formi malvera a sada je otkriven jedan koji može da špijunira korisnike na način koji je p... Dalje

Malver u aplikacijama za decu prikazivao pornografske reklame

Malver u aplikacijama za decu prikazivao pornografske reklame

Google je uklonio više od 60 aplikacija za igru Play prodavnice, jer je otkriveno da sadrže kod koji je odgovoran za prikazivanje neprikladnih, porn... Dalje