Троян svpeng: Троян Svpeng.q попадает на Android-устройства через Google AdSense

Троян Svpeng.q попадает на Android-устройства через Google AdSense

Есть такая распространенная точка зрения: «Если я ничего плохого не делаю, то ничем и не заражусь». Дескать, если не лазить по сомнительным порносайтам, не открывать подозрительные вложения из почты и не устанавливать всякие левые приложения, то все будет хорошо и никакую заразу не подцепишь.

Было бы здорово, если бы все было так просто. К сожалению, это не так: даже те, кто ходит только на «белые и пушистые» сайты, тоже рискуют подхватить какого-нибудь зловреда. Например, именно это произошло с 318 тысячами пользователей (318 тысячами!), поймавшими на свои Android-устройства банковского троянца Svpeng.q из рекламной сети Google AdSense.

Google AdSense — это самая большая рекламная сеть в мире. Так что использовать ее для распространения зловредов наверняка голубая мечта многих злоумышленников. И вот кому-то это удалось.

Киберпреступники размещали в сети рекламные баннеры, которые выводились с помощью скрипта с обфусцированным кодом, запускавшим скачивание APK-файла — установщика троянца Svpeng.q. Причем не просто скачивание, а по частям, через специальную функцию. Сделано это для того, чтобы устройство пользователя не выводило предупреждений о том, что, возможно, скачанный файл может оказаться опасным.

Также скрипт сделан так, что работает он только на устройствах с сенсорным экраном и только при использовании браузера Chrome. Таким образом преступники, по сути, ограничили аудиторию тех, кто видит баннер, пользователями смартфонов и планшетов на операционной системе Android, для которой и написан троян Svpeng.q.

Коллеги опубликовали немного мякотки про банковского троянца, который лезет в Android-девайсы при просмотре рекламы: https://t.co/0uwwKL6rOj pic.twitter.com/ivYNKJIOo8

— Kaspersky Lab (@Kaspersky_ru) November 7, 2016

О том, что делает Svpeng.q, можно почитать в материале наших исследователей на Securelist, но если кратко, то он мало чем отличается от остальных банковских троянцев: основная его функция — воровать номера карт, заменяя окна банковских приложений своими. То есть он попросту позволяет мошенникам воровать ваши деньги.

Мы сообщили Google о том, как именно зловред обходит предупреждения о потенциальной опасности в Chrome, и к настоящему моменту для браузера уже выпущен патч, исправляющий проблему.

К тому же, чтобы Svpeng заразил устройство, пользователь должен его не только скачать, но и самостоятельно установить. Правда, зловред старается показаться полезным, чтобы у пользователя все же возникло желание его поставить. Скачиваемый файл носит названия вроде Android_update_6.apk или Instagram.apk, то есть вовсю прикидывается либо известным приложением, либо системным обновлением. Такая социальная инженерия нередко срабатывает, и троян получает контроль над устройством пользователя.

Что такое малвертайзинг или как реклама может навредить вашему компьютеру: http://t.co/NRAsYZ9r4j

— Kaspersky Lab (@Kaspersky_ru) September 5, 2014

Как защититься от троянов из рекламы?

Как видите, даже если читать только самые чистоплотные сайты, все равно можно подцепить зловреда. Причем администрация сайтов в данном случае не виновата — дело в рекламном движке. Чтобы защититься от автоматически скачиваемых троянцев из рекламы, мы рекомендуем придерживаться следующих правил:

1. Не открывайте файлы, которые вы сами не скачивали. Даже если что-то называется android_update.apk, это совсем не значит, что внутри этого чего-то действительно находится обновление системы.

2. Запретите установку приложений из неофициальных магазинов. Это можно сделать в настройках любого гаджета на Android, и тогда, даже если вы по ошибке согласитесь установить такое псевдообновление, система не позволит вам этого сделать.

3. Вовремя устанавливайте настоящие обновления операционной системы и приложений. Да-да, обновите Google Chrome на своих Android-устройствах прямо сейчас, это не займет много времени.

4. Устанавливайте на каждое устройство антивирус. В данном случае пользователей спас бы антивирус, работающий в реальном времени. Сканеры, которые запускаются по команде пользователя, здесь не годятся — Svpeng умеет «убивать» процессы популярных антивирусных решений. А вот, например, платная версия Kaspersky Antivirus & Security для Android детектирует его как Trojan.Banker.Androidos.Svpeng.Q — и справляется с ним без проблем.

Kaspersky Threats — Svpeng

Банковский троян Svpeng атакует устройства на Android

Специалистами компании «Лаборатория Касперского» обнаружен еще один вирус, который крадет реквизиты банковских карт на устройствах под управлением ОС Android. Троян получил название Svpeng и работает на всех версиях операционной системы, включая последнюю Android Oreo.

Распространение банковского вируса произошло в основном через рекламную сеть Google Adsense. Хотя данная сеть и считается самой защищенной от размещения в баннерах вредоносного кода, но все-таки злоумышленникам удалось опубликовать в Google Adsense скрипт в рекламных банерах, который запускает закачку и установку вируса. Чтобы избежать сообщений о потенциальной опасности, троян закачивается частями, а не полным APK-файлом.

Как функционирует троян Svpeng

Вредоносная программа маскируется под Flash плеер и после установки запрашивает разрешение на доступ к функциям, облегчающим работу на Android людям с ограниченными возможностями. Троян логирует нажатия на экранной клавиатуре во время ввода данных, а также делает снимки экрана.

Если приложение запрещает делать снимки экрана, как например мобильные банковские приложения, то вирус показывает фальшивое окно с полями ввода конфиденциальной информации, которые попадают к злоумышленникам.

Троян Svpeng берет на себя управление SMS сообщениями и телефонными звонками, может просматривать и изменять контакты, а также препятствует отключению администрирования устройством.

Работает Svpeng исключительно на андроид гаджетах с сенсорным экраном и при использовании мобильного браузера Ghrome. Показ зараженного баннера и закачка вируса происходит только в этом браузере, таким образом, мошенники волей-неволей ограничили число зараженных пользователей. В настоящий момент уже выпущено обновление безопасности для Ghrome.

Как защититься от вирусов в рекламных баннерах

Владельцы сайтов не несут вины в распространении трояна Svpeng – это особенность движка мобильного Ghrome (уже исправленная разработчиками) и недочет рекламной сети Google Adsense. В любом случае, для профилактики заражения вирусами при посещении сайтов с мобильного устройства, придерживайтесь следующих простых правил:

1. Не запускайте файлы на исполнение, которые закачались без вашего участия. Даже если название файла имеет безобидный вид, наподобие update_androidapk или flash_player.apk, удаляйте их без открытия.
2. Не давайте в настройках Android ОС разрешение на установку приложений из сторонних источников. Даже если произошло ошибочное нажатие на открытие скачанного apk файла, то система просто не даст ему установиться.
3. Не пренебрегайте выпускаемыми обновлениями для Android и установленных приложений. Это не занимает много времени и поможет обезопасить ваш гаджет.
4. Устанавливайте антивирусы, сканирующие файлы в режиме реального времени. Антивирусы, запускаемые на проверку устройства по команде пользователя или по расписанию, не совсем хорошо подходят для полноценной защиты, т.к. такой сканер не сможет предотвратить момент установки зловреда, а только обнаружит его при очередной проверке, когда уже важная информация ушла с вашего смартфона или планшета к злоумышленникам.

Соблюдение вышеприведенных правил безопасности поможет предотвратить заражение устройства и потерю ваших средств. Возможно вам будет интересна статья Как удалить вирус с андроид телефона или планшета, опубликованная ранее.

С этим еще читают:

• Huawei подтвердила, что заменит Android на ОС Harmony в октябре 2021 года Санкции правительства США против Huawei серьезно ограничили деловые отношения компании. Неспособность оптимально использовать приложения Google Play и отсутствие достаточного количества […]
• Вышел Android 11. Что нового и какие устройства обновятся Вчера, 9 сентября 2020 года, Google официально выпустил последнюю версию своей операционной системы – Android 11. Нельзя сказать, что пользователи не были готовы к этому, но большинство […]
• Вышло очередное обновление Google Chrome, повышающее его скорость На текущий момент браузером Google Chrome является самым распространенным средством просмотра веб-страниц, как для персональных компьютеров, так и для мобильных устройств. И такой […]
• Google экспериментирует с Chrome для уменьшения расхода батареи Google проводит дальнейшие эксперименты, направленные на сокращение ресурсов, необходимых для работы Chrome. Ожидается, что две новые функции уменьшат энергопотребление на устройствах […]
• Смартфоны Huawei больше не будут получать обновления Android В 2019 году минфин США ввел санкции против китайской компании Huawei, объяснив этот шаг интересами национальной безопасности. В результате китайская компания уже не могла устанавливать […]

Удаление вируса Svpeng

Вирус Svpeng — это опасная программа-вымогатель, которая была переработана в середине 2014 года. Она была выпущена около года назад русскими хакерами, которые использовали вирус для кражи банковской информации пользователей. В то время, она работала как троян, помогавший мошенникам воровать тысячи долларов, изображая поддельные авторизационные страницы финансовых учреждений. Однако, в соответствии с последними новостями, этот вирус может работать, как программа-вымогатель, а также он обладает фишинговыим способностями. Это значит, что вирус Svpeng был создан, чтобы блокировать компьютеры пользователей и с помощью их фотографий, угрожать им несуществующими штрафами из ФБР. Вирус заразил компьютеры пользователей в США, Великобритании, Швейцарии, Германии и Индии. Пожалуйста, остерегайтесь этой программы, и НЕ платите штраф!

Как вирус Svpeng может заразить мой компьютер?

Svpeng распространяется с помощью поддельных обновлений флеш-плеера, спама и нелегальных программ. Будьте осторожны, он легко может «угнать» системы Windows и Android, не подав ни одного знака. Как только он попадает на устройство, он показывает поддельный экран сканирования, и блокирует систему. После этого, он отображает сообщение с требованием заплатить $200 или $500 долларов штрафа за посещение незаконных порносайтов, и использование запрещенного контента. Похожий на другие программы-вымогатели, вирус Svpeng просит заплатить штраф через систему MoneyPak, которую можно найти в Walmart, Fred Mayer, kmart и других супермаркетах. Жертве также могут показать её собственные фотографии, обычно взятые с помощью камеры зараженного устройства. Пожалуйста, не верьте этому обману, вы легко можете потерять деньги. Чтобы починить Ваш компьютер, необходимо удалить вирус Svpeng из системы.

Как удалить вирус Svpeng?

Пожалуйста, НЕ позволяйте вирусу Svpeng оставаться на вашем компьютере или другом устройстве — он может использоваться для совершения вредоносных действий. Этот вирус может легко вызвать потерю вашей персональной информации, денег и т.д. Если вы хотите, починить ваш компьютер, просканируйте его с Reimage Reimage Cleaner Intego или SpyHunter 5Combo Cleaner.

Reimage Intego имеет бесплатный ограниченный сканер. Reimage Intego предлагает дополнительную проверку при покупке полной версии. Когда бесплатный сканер обнаруживает проблемы, вы можете исправить их с помощью бесплатного ручного ремонта или вы можете приобрести полную версию для их автоматического исправления.

банкер заражал Android-девайсы через Google AdSense — «Хакер»

Исследователи «Лаборатории Касперского» Никита Бучка и Антон Кивва описали в блоге компании интересный кейс. Еще в августе 2016 года «Лаборатория Касперского» предупреждала, что были зафиксированы случаи автоматической загрузки банковского трояна при просмотре некоторых новостных сайтов на Android-устройствах. Вскоре выяснилось, что проблема таилась в рекламных сообщениях сети Google AdSense и не ограничивалась только новостными сайтами. Исследователи изучили странную угрозу более детально, ведь обычно в ходе загрузки приложений браузер уведомляет пользователя о закачке потенциально опасного файла и предоставляет выбор: сохранить файл или отказаться от сохранения.

Специалисты пишут, что география распространения последних версий Trojan-Banker.AndroidOS.Svpeng (далее просто Svpeng) ограничена только РФ и СНГ. Как видно на графике ниже, суммарно Svpeng был обнаружен примерно у 318 000 пользователей за два месяца, а на пике его «популярность» достигала 37 000 атакованных пользователей в день. Такие большие числа и скачкообразный график объясняются просто – рекламные объявления, с помощью которых распространяется зловред, довольно оперативно блокируются Google. Впрочем, новые кампании по распространению вредоносной рекламы появляются в AdSense регулярно, на протяжении уже двух месяцев. Последняя зарегистрированная кампания датирована 19.10.2016.

Далее исследователи объясняют, как именно происходит сохранение вредоносного APK на SD-карту устройства. Ниже представлен HTTP-запрос, который приводит к показу «рекламного сообщения» атакующих.

На данный запрос сервер отвечает скриптом JavaScript, используемым для показа рекламного сообщения. Скрипт содержит сюрприз: в его начале располагается сильно обфусцированный код. Разобравшись в коде, исследователи установили, что скачивание APK-файла происходит под видом зашифрованного массива байт в скрипте, остается только сохранить его на SD-карту. Затем код атакующих проверяет доступность функций из состава движков различных браузеров и в случае их недоступности определяет свою. В этой функции создаются объект URL и элемент <a> (обозначение для ссылки в HTML). Полученной в результате этих действий ссылке далее задается атрибут href (то, куда указывает ссылка), и происходит программный клик на эту ссылку. Также злоумышленники реализовали разбиение APK-файла на блоки размером по 1024 байта, что тоже помогает обойти защитные механизмы.

Исследователи пишут, что помимо прочего, маллварь проверяет, какой язык используется на атакуемом устройстве и срабатывает лишь в том случае, если языком по умолчанию является русский.

«Описанный выше метод работает только в Google Chrome для Android. Когда скачивание .apk выполняется с использованием ссылки на внешний ресурс, браузер выдает предупреждение о том, что скачивается потенциально опасный объект, и предлагает пользователю выбор – сохранить или нет скачиваемый файл.

При разбиении .apk на куски и передаче их в функцию сохранения через класс Blob() не производится проверка типа сохраняемого объекта, и браузер сохраняет .apk, не предупреждая об этом пользователя», — резюмируют специалисты.

После успешного скачивания трояна на SD-карту устройства, атакующие прибегают к приемам социальной инженерии. Чтобы жертва установила малварь, Svpeng  маскируется под легитимные приложения, сохраняясь под следующими именами:

• last-browser-update.apk
• WhatsApp.apk
• Google_Play.apk
• 2GIS.apk
• Viber.apk
• DrugVokrug.apk
• Instagram.apk
• VKontakte.apk
• minecraftPE.apk
• Skype.apk
• Android_3D_Accelerate.apk.
• SpeedBoosterAndr6.0.apk
• new-android-browser.apk
• AndroidHDSpeedUp.apk
• Android_update_6.apk
• WEB-HD-VIDEO-Player.apk
• Asphalt_7_Heat.apk
• CHEAT.apk
• Root_Uninstaller.apk
• Mobogenie.apk
• Chrome_update.apk
• Trial_Xtreme.apk
• Cut_the_Rope_2.apk
• Установка.apk
• Temple_Run.apk

Хотя в современных версиях Android установка приложений из неизвестных источников запрещена по умолчанию, атакующие надеются, что пользователи отключат данную опцию ради установки «важного обновления браузера» или новой версии популярного приложения.

Описанный метод атак срабатывал исключительно в Google Chrome, и исследователи сообщают, что на момент публикации статьи разработчики Google уже представили патч для данной проблемы.

Фото: «Лаборатория Касперского», Depositphotos

Мобильный фишинг – новый функционал андроид-троянца Svpeng

Со времени публикации нашего первого поста о мобильном троянце Trojan-SMS.AndroidOS.Svpeng злоумышленники усовершенствовали его функционал. Теперь Svpeng занимается еще и фишингом, пытаясь выудить финансовые данные пользователей.

Когда пользователь запускает банковское приложение одного из крупнейших российских банков, троянец подменяет открытое окно фишинговым, стремясь выудить у жертвы его логин и пароль к системе онлайн-банкинга:

Данные, которые вводит пользователь, отправляются злоумышленникам.

Похожим образом зловред пытается украсть данные о банковской карточке. Троянец проверяет, запущена ли программа Google Play:

Если пользователь запускает эту программу, троянец показывает поверх окна Google Play свое окно с предложением ввести данные банковской карточки:

Все введенные пользователем данные немедленно отправляются злоумышленникам.

Напомним, что этот же зловред умеет воровать деньги с банковских счетов своих жертв. Сразу после запуска троянец отправляет SMS-сообщения на номера двух крупных российских банков:

Таким образом он проверяет, привязаны ли к номеру зараженного телефона карты этих банков, и получает баланс, который отправляется на C&C сервер злоумышленников. Если телефон привязан к банковской карте, с командного центра могут приходить команды на перевод денег с банковского счета пользователя на его мобильный счет или на мобильный счет злоумышленников. Эти деньги злоумышленники могут обналичить, предварительно переведя их на свои электронные кошельки.

Пока троянец атакует клиентов только российских банков, но, как правило, злоумышленники, отработав технологию в Рунете, начинают использовать ее и в атаках на пользователей других стран. Уже сейчас после перезагрузки телефона вредоносная программа проверяет языковую версию операционной системы. Страны, которыми «интересуется» троянец: США (Us), Германия (De), Украина (Ua) и Белоруссия (By).

После проверки Trojan-SMS.AndroidOS.Svpeng по команде сервера показывает пользователю окно с сообщением «Подождите, идет загрузка…» на соответствующем языке. Затем, если от C&C пришли указания, троянец открывает веб-страницу (скорее всего, фишинговую), адрес которой он также получает с C&C злоумышленников.

За три месяца существования троянца мы обнаружили 50 модификаций этой вредоносной программы, Kaspersky Internet Security для Android заблокировал более 900 установок троянца. Распространяется зловред с помощью вредоносного SMS-спама, например, такого:

Троянец очень заботится о самозащите:

Чтобы помешать антивирусам удалять его, троянец по-прежнему использует стандартный механизм Android – deviceAdmin.

А для того, чтобы пользователь не отключил ему DeviceAdmin, троянец использует ранее неизвестную уязвимость в Android. Таким же образом троянец пытается помешать сбросить настройки телефона на заводские.

Отметим, что, несмотря на все эти ухищрения, KIS для Android способен удалить вредоносную программу. Таким образом, антивирус – единственная защита от этого кибервора.

«Лаборатория Касперского»: вирус для Android крадет данные карт с помощью спецфункций — Экономика и бизнес

МОСКВА, 21 сентября. /ТАСС/. «Лаборатория Касперского» обнаружила новую модификацию вредоносного программного обеспечения для мобильных устройств на операционной системе Android, которая крадет данные банковских карт с помощью функций для людей с ограниченными возможностями, говорится в сообщении антивирусной компании.

По данным экспертов «Лаборатории Касперского», мобильный банковский троян Svpeng научился записывать нажатия клавиш на устройстве (то есть получил функциональность так называемого кейлоггера).

Вредоносная программа распространяется под видом фальшивого Flash-плеера и после активации запрашивает права доступа к функциям для людей с ограниченными возможностями. Вместе с этим троян получает и другие дополнительные привилегии (в частности, доступ к интерфейсу других приложений и возможность делать скриншоты экрана каждый раз, когда на виртуальной клавиатуре набирается символ).

Как отмечает «Лаборатория Касперского», одна из наиболее опасных привилегий Svpeng — возможность перекрывать окна других программ. Зачастую банковские сообщения запрещают делать скриншоты во время своего отображения на экране. В этом случае Svpeng выводит поверх приложения собственное фишинговое окно, пользователь вводит данные туда — и они попадают к киберпреступникам. «Исследователи обнаружили целый список фишинговых адресов, с помощью которых троянец атакует приложения нескольких ведущих банков Европы», — уточняется в сообщении.

Помимо этого, троян назначает себя приложением для sms по умолчанию и получает права совершать звонки, доступ к контактам. Кроме того, он обеспечивает себе возможность блокировать любые попытки отключить его администраторские привилегии. В связи с этим удалить вредоносную программу довольно трудно. Исследователи «Лаборатории Касперского» выяснили, что Svpeng способен воровать данные даже на полностью обновленных устройствах с последней версией операционной системы Android.

Общее количество атак с помощью этого мобильного трояна пока невелико, большая часть пришлась на Россию (29%), Германию (27%), Турцию (15%), Польшу (6%) и Францию (3%). «При этом Svpeng обладает интересной особенностью: он не работает на устройствах с русским языком интерфейса. Такую тактику часто используют российские киберпреступники, которые стараются избежать проблем с законом после запуска зловредов», — поясняет «Лаборатория Касперского».

«Использование функций для людей с ограниченными возможностями — новый этап развития мобильных банковских вредоносов, так как это позволяет троянцам обходить многие защитные механизмы, появившиеся в последних версиях Android. Кроме того, использование специальных возможностей на устройстве позволяет злоумышленникам воровать гораздо больше данных, чем раньше», — прокомментировал ситуацию старший антивирусный эксперт «Лаборатории Касперского» Роман Унучек, слова которого приводятся в сообщении. Он добавил, что эксперты «Лаборатории Касперского» отслеживают все изменения функционала Svpeng, который известен своими постоянными обновлениями и считается одной из самых опасных вредоносных программ.

Троян

Svpeng обновлен для кражи всей вашей банковской информации

Печально известный банковский троян Svpeng получил еще одно обновление, на этот раз позволяющее использовать службы специальных возможностей для кражи введенного текста, сообщает «Лаборатория Касперского».

Обновление, которое делает Svpeng еще более эффективным сборщиком конфиденциальной банковской информации жертв, было обнаружено российским поставщиком антивирусных программ в середине июля.

Trojan-Banker.AndroidOS.Svpeng.ae распространяется через поддельные обновления Flash Player на вредоносных сайтах и ​​может работать даже на тех Android-устройствах, на которых установлены все обновления безопасности, пишет старший аналитик «Лаборатории Касперского» Роман Унучек.

При запуске вредоносная программа запрашивает разрешение на использование служб доступности.

«Злоупотребляя этой привилегией, он может сделать много вреда. Он предоставляет себе права администратора устройства, перетаскивает себя поверх других приложений, устанавливает себя как приложение для SMS по умолчанию и предоставляет себе некоторые динамические разрешения, включая возможность отправлять и получать SMS, совершать звонки и читать контакты », — пояснил Унучек.

«Кроме того, используя свои новые возможности, троянец может заблокировать любую попытку лишить устройства прав администратора, тем самым предотвратив его удаление.Интересно, что при этом также блокируются любые попытки добавить или удалить права администратора устройства для любого другого приложения ».

Что наиболее важно, это означает, что Svpeng может получить доступ к пользовательскому интерфейсу других приложений на телефоне жертвы и украсть у них данные, включая введенный текст.

Он также будет снимать и передавать снимок экрана каждый раз, когда пользователь нажимает на клавиатуру. Для приложений, которые блокируют снимки экрана, окно фишинга будет отображаться поверх целевого приложения.

Несмотря на то, что эта вредоносная программа еще не получила широкого распространения, она уже нацелена на пользователей в 23 странах, наибольшее количество сконцентрировано в России (29%), Германии (27%), Турции (15%), Польше (6%) и Франции (3%). %).

Однако на самом деле троянец не работает на устройствах с русским языком программирования; По словам Унучека, это обычная тактика, которую используют киберпреступники, которые не хотят, чтобы их поймали местные правоохранительные органы.

Великобритания возглавляет список по количеству местных банковских приложений, на которые нацелен Svpeng (14), за ней следуют Германия (10), Турция (9) и Австралия (9).

Svpeng имеет долгую историю инноваций в течение четырех лет, будучи первым вредоносным ПО, которое нацелено на SMS-банкинг, использует фишинговые страницы для кражи учетных данных из других приложений и поддерживает возможности программ-вымогателей.

.

ANDROID БАНКОВСКИЙ ТРОЯН SVPENG ДОБАВЛЯЕТ KEYLOGGER

Авторы семейства вредоносных программ для банковских операций Android Svpeng добавили к недавно появившемуся штамму кейлоггер, дав злоумышленникам еще один способ украсть конфиденциальные данные.

Роман Унучек, старший аналитик вредоносного ПО в «Лаборатории Касперского», заявил в понедельник, что в середине июля он обнаружил новый вариант троянца. Унучек говорит, что кейлоггер использует службы доступности, функцию Android, которая помогает пользователям с ограниченными возможностями или помогает пользователям получать доступ к приложениям во время вождения.

Unuchek специализируется на обнаружении вредоносных программ для Android; ранее этим летом он помог предупредить Google о двух приложениях на торговой площадке Play, которые на самом деле были троянцами Ztorg, а также о другом приложении, являющемся трояном для укоренения, Dvmap.

По словам исследователя, последняя версия Svpeng проверяет язык устройства. Если язык не русский, он просит устройство использовать службы доступности, что может привести к ряду опасных последствий для устройства.

«Он предоставляет себе права администратора устройства, перетаскивает себя поверх других приложений, устанавливает себя как приложение для SMS по умолчанию и предоставляет себе некоторые динамические разрешения, включая возможность отправлять и получать SMS, совершать звонки и читать контакты», — написал Унучек в понедельник. , «Кроме того, используя свои недавно обретенные возможности, троянец может блокировать любую попытку лишить устройства прав администратора, тем самым предотвращая его удаление».

После предоставления возможности доступа к внутренней работе других приложений на устройстве, Унучек говорит, что Svpeng может красть текст, введенный в других приложениях, и делать снимки экрана — информацию, которая сразу же отправляется на сервер управления и контроля злоумышленников.

Унучек сказал, что в рамках своего исследования ему удалось перехватить зашифрованный файл конфигурации с C&C сервера вредоносной программы. Этот файл помог ему определить некоторые сайты и сервисы, на которые нацелен Svpeng. Он утверждает, что файл содержал фишинговые URL-адреса мобильных приложений PayPal и eBay, а также URL-адреса банковских приложений из Великобритании, Германии, Турции, Австралии, Франции, Польши и Сингапура.

Файл также содержал оверлей для приложения для вознаграждений, а не для финансового приложения: Speedy Rewards, приложение, распространяемое американской сетью заправочных станций / магазинов Speedway.

Помимо URL-адресов, файл помогает вредоносной программе получать с сервера следующие команды:

• Для отправки СМС
• Для сбора информации (Контакты, установленные приложения и журналы вызовов)
• Для сбора всех СМС с устройства
• Открыть URL
• Начать кражу входящих SMS

Самая последняя версия троянца, получившая название Trojan-Banker.AndroidOS.Svpeng.ae, не получила широкого распространения, говорит Унучек. Лишь небольшое количество пользователей подверглось атаке в течение недели, но это может растянуться и дальше.По словам Унучека, вредоносная программа, возможно, не затронула многих пользователей, но те, которые были поражены, прибыли со всех уголков Европы — 23 страны, включая Россию, Германию, Турцию, Польшу и Францию.

Исследователи «Лаборатории Касперского», которые впервые идентифицировали вредоносное ПО еще в 2013 году, заявили, что в прошлом месяце Svpeng и еще одно семейство, Fusob, были связаны с всплеском атак мобильных программ-вымогателей в первом квартале этого года.

Исследователь говорит, что версия Svpeng, которую он заметил в июле, распространялась через вредоносные веб-сайты, замаскированные под поддельный Flash Player.

Основной способностью Svpeng, которая изначально распространялась через SMS в 2013 году, был фишинг. Пользователи, пораженные вредоносной программой, получали фишинговое окно после открытия выбранного ими банковского приложения. В окне будет запрашиваться имя пользователя и пароль, информация, которая в конечном итоге отправляется обратно на сервер злоумышленника. Вредоносная программа была модифицирована с вымогателей компонентом, который требовал $ 500 от пользователей довольно рано, еще весной 2014 года вымогателей в конце концов эволюционировали, говоря пользователям их устройства были заблокированы ФБР, потому что они были использованы для посещения веб-сайтов, содержащих порнографию.Тогда пользователям придется заплатить меньшую плату, 200 долларов, чтобы разблокировать устройство.

Унучек заявил в понедельник, что не был удивлен, что злоумышленники, стоящие за Svpeng, начали использовать кейлоггеры и злоупотреблять функциональными возможностями Android.

«[Svpeng] был одним из первых, кто нацелен на атаки на SMS-банкинг, использовал фишинговые страницы для наложения приложений с целью перехвата учетных данных, а также для блокировки устройств и требования денег. Вот почему так важно отслеживать и анализировать каждую новую версию », — сказал Унучек.

.

Мобильный троян Svpeng реализует программы-вымогатели

Мобильный троян Svpeng набирает обороты. Из скромных корней в прошлом году как стандартная вредоносная программа класса троян, крадущая деньги со счетов SMS-банкинга, она превратилась в полностью зрелую, изощренную банковскую ошибку, которая включает в себя возможности программы-вымогателя. Теперь его хранители выделили функцию вымогателя как отдельную вредоносную программу.

«Лаборатория Касперского» отметила, что эволюция Svpeng началась в прошлом году, когда она заметила, что киберпреступники усовершенствовали функциональность троянца, и он начал атаковать именно клиентов трех крупнейших банков России.

«Svpeng будет ждать, пока пользователь откроет приложение онлайн-банкинга, а затем заменяет его собственным, пытаясь получить логин и пароль жертвы», — пояснил Роман Унучек, эксперт «Лаборатории Касперского», в анализе. «Троянец также попытался украсть данные банковской карты, открыв собственное окно поверх приложения Google Play и запросив информацию, которую хотели злоумышленники».

В начале года появилась новая модификация Svpeng с возможностями программы-вымогателя.По команде своего сервера вредоносная программа попыталась заблокировать телефон пользователя и отобразить сообщение с требованием уплаты «гонорара» в размере 500 долларов за предполагаемую преступную деятельность.

Итак, похоже, что киберпреступники, стоящие за вредоносной программой, решили усовершенствовать программу-вымогатель и выпустить ее как отдельный троян.

«Хотя основная версия была нацелена на Россию, 91% зараженных новой версией находились в США», — сказал Унучек. «Вредоносная программа также атаковала пользователей в Великобритании, Швейцарии, Германии, Индии и России.

Для выполнения своих гнусных обязанностей Svpeng имитирует фиктивное «сканирование» телефона жертвы и, конечно же, находит «запрещенный контент». Затем он блокирует телефон и требует оплаты в размере 200 долларов, чтобы разблокировать его. Он также отображает фотографию пользователя, сделанную передней камерой телефона.

«Когда дело доходит до троянских программ-вымогателей, новая модификация Svpeng выделяется полностью новой реализацией стандартных функций — она ​​полностью блокирует мобильное устройство, даже делая невозможным вызов меню для выключения или перезагрузки устройства», объяснил Унучек.«Жертва может выключить устройство, нажав кнопку включения / выключения на несколько секунд, но троянец сразу же начинает работать, как только устройство снова включается».

Однако маловероятно, что это конец истории Svpeng. Kaspersky выделил семь модификаций нового Svpeng.

«Все они включают ссылку на класс Cryptor, но ни один из них не пытается ее использовать», — сказал Унучек. «Это может означать, что в будущем киберпреступники будут использовать троян для шифрования пользовательских данных и требовать выкуп за их расшифровку.»

.

Kaspersky Threats — Svpeng

.