Новая модификация мобильного троянца крадет банковские данные

Новая модификация мобильного троянца крадет банковские данные

Новая модификация мобильного троянца крадет банковские данные

Эксперты «Лаборатории Касперского» обнаружили новую модификацию мобильного банковского троянца Svpeng, который получил функциональность кейлоггера — то есть научился записывать нажатия клавиш на устройстве. Делает он это, эксплуатируя функции Android для людей с ограниченными возможностями.

Троянец распространяется через вредоносные веб-сайты под видом фальшивого Flash-плеера. После активации Svpeng запрашивает права доступа к функциям для людей с ограниченными возможностями. Вместе с ними он приобретает много дополнительных привилегий: например, получает доступ к интерфейсу других приложений и возможность делать скриншоты экрана каждый раз, когда на виртуальной клавиатуре набирается символ.

К наиболее опасным привилегиям, которыми наделяет себя Svpeng для сбора данных, относится возможность перекрывать окна других программ. Это необходимо ему, потому что некоторые приложения, в частности банковские, запрещают делать скриншоты во время своего отображения на экране. В таких случаях троянец выводит поверх приложения собственное фишинговое окно, куда пользователь и вводит данные, однако получают их уже киберпреступники. Исследователи обнаружили целый список фишинговых адресов, с помощью которых троянец атакует приложения нескольких ведущих банков Европы.

Кроме того, троянец назначает себя приложением для СМС по умолчанию, а также выдает себе права совершать звонки, доступ к контактам и возможность блокировать любые попытки отключить его администраторские привилегии. Таким образом, он делает свое удаление максимально трудным. При этом исследователи отмечают, что Svpeng способен воровать данные даже на полностью обновленных устройствах с последней версией Android.

Авторы данной модификации троянца еще не развернули свою активность в полную силу, поэтому общее число атак невелико. Большинство из них пришлись на Россию (29%), Германию (27%), Турцию (15%), Польшу (6%) и Францию (3%). При этом Svpeng обладает интересной особенностью: он не работает на устройствах с русским языком интерфейса. Такую тактику часто используют российские киберпреступники, которые стараются избежать проблем с законом после запуска зловредов.

«Использование функций для людей с ограниченными возможностями — новый этап развития мобильных банковских вредоносов, так как это позволяет троянцам обходить многие защитные механизмы, появившиеся в последних версиях Android. Кроме того, использование специальных возможностей на устройстве позволяет злоумышленникам воровать гораздо больше данных, чем раньше. Поэтому совсем не удивительно, что Svpeng движется в этом направлении. Это семейство троянцев хорошо известно своими постоянными обновлениями, которые делают его одним из самых опасных зловредов. Svpeng был в первых рядах среди тех, кто научился атаковать СМС-банкинг, перекрывать банковские приложения фишинговыми страницами для кражи данных, а также блокировать устройства и требовать выкуп. Поэтому мы отслеживаем все изменения функционала этого троянца», — отметил Роман Унучек, старший антивирусный эксперт «Лаборатории Касперского».