V polovici júla objavili bezpečnostní experti zo spoločnosti Kaspersky Lab novú modifikáciu známeho trojana Svpeng. Malvér, ktorý sa zameriava na služby mobilného bankingu, tentoraz využíva novú funkcionalitu – tzv. keylogger. Ten je schopný zaznamenať stláčania jednotlivých kláves a odsledovať tak zadávané heslá či iné prihlasovacie údaje. Nová verzia Svpeng cieli na používateľov Android zariadení. Len v priebehu prvého týždňa od detekcie boli zaznamenané útoky z 23 krajín, vrátane Ruska (29%), Nemecka (27%), Turecka (15%), Poľska (6%) a Francúzska (3%).
Vírus rozozná čo píšete na klávesnici. Spozná tak heslá od internetbankingu
Nová verzia Svpeng zneužíva na prienik do zariadení tzv. accessibility services – služby dostupnosti, ktoré umožňujú rozšírenia určené najmä používateľom so zdravotným hendikepom alebo iným obmedzením používania smartfónu, napr. pri šoférovaní.
„Zneužívanie služieb dostupnosti, ako aj sledovanie stláčaní kláves prostredníctvom keyloggera sú dôkazom ďalšieho vývoja tohto mobil-bankingového trojana. Svpeng patrí do jednej z najväčších a najnebezpečnejších malvérových rodín v súčasnosti. Ako jedna z prvých útočila na svoje ciele cez SMS banking, pričom zneužíva aplikácie prekrývané phishingovými stránkami, aby sa dostala k prístupovým a prihlasovacím údajom, zablokovala zariadenia a následne požadovala od obete výkupné. Táto hrozba sa naďalej rozširuje a je známa neustálym vylepšovaním zločineckých techník. Preto je mimoriadne dôležité monitorovať a analyzovať každú novú verziu,“ povedal Roman Unuchek, senior analytik špecializujúci sa na malvér v spoločnosti Kaspersky Lab.
Trojan Svpeng sa rozširuje prostredníctvom napadnutých webových stránok ako falošný flash player. Hneď po aktivácii si vyžiada povolenie používať služby dostupnosti (accessibility services). Zneužitím tejto jedinej funkcie je schopný získať prístup do používateľských rozhraní ďalších aplikácií v zariadení, urobiť screenshoty z každého stláčania kláves a dostať sa tak k cenným prihlasovacím dátam, vrátane prístupu do bankingových služieb. Takto si dokáže odovzdať aj samotné administrátorské práva k zariadeniu a nastaviť ostatné aplikácie podľa svojich potrieb.
V prípade, že aplikácie (najmä bankingové) neumožnia urobiť screenshot, použije trojan phishingové stránky na prekrytie danej aplikácie. Výskumným expertom sa podarilo zostaviť zoznam URL adries phishingových stránok napádajúcich bankingové aplikácie niektorých Európskych retajlových bánk.
Ako sa chrániť?
Svpeng je tiež schopný nastaviť sám seba ako predvolenú SMS aplikáciu v zariadení, čo mu umožní odosielať a prijímať SMS správy, uskutočňovať hovory, získať prístup ku kontaktom a cez získané administrátorské práva zablokovať všetky pokusy o jeho odinštalovanie. Navyše, jeho najnovšie techniky sú účinné aj na zariadeniach s poslednou verziou Android OS, vrátane všetkých bezpečnostných aktualizácií.
Experti Kaspersky Lab preto odporúčajú
- nainštalovať si do zariadení spoľahlivé a účinné bezpečnostné programy, ako napr. Kaspersky Internet Security pre Android;
- pri každej inštalácií aplikácií sa tiež uistiť, či bola vytvorená renomovanou vývojárskou spoločnosťou;
- vyvarovať sa sťahovaniu čohokoľvek, čo pôsobí podozrivo alebo pochádza z neovereného zdroja;
- a nakoniec, dávať si pozor zakaždým, keď udeľujeme aplikácii dodatočné povolenia.
Trojan Svpeng bol detekovaný technológiami Kaspersky Lab ako Trojan-Banker.AndroidOS.Svpeng.ae.
Viac informácií a zistení z posledných sledovaní trojana Svpeng nájdete v blogu bezpečnostného experta na Securelist.com.