Mobilni bankarski Trojanac Svpeng sada blokira telefone i ucenjuje korisnike

Mobilni telefoni, 13.06.2014, 10:20 AM

Mobilni Trojanac Svpeng koji je otkriven pre skoro godinu dana dok je napadao mobilne uređaje korisnika tri najveće ruske banke pokušavajući da ukrade akreditive za bankovne račune, nedavno je opremljen novom funkcionalnošću tako da sada deluje i kao ransomware, koristeći fotografije žrtava da bi ih zastrašio i naterao da plate kaznu za izmišljene prekršaje.

Kada je otkriven, Svpeng je delovao kao mobilni bankarski Trojanac, koji je čekao da korisnik otvori aplikaciju za online bankarstvo i zatim je zamenjivao svojom aplikacijom pokušavajući da ukrade korisničko ime i lozinku žrtve. Trojanac je pokušavao i da ukrade podatke o bankovnoj kartici prikazujući svoj prozor preko aplikcije Google Play i zahtevajući od žrtve da unese podatke o svojoj kartici.

Početkom godine, Kaspersky Lab je detektovao novu verziju Trojanca Svpeng koja je imala mogućnost da deluje kao ransomware. Kada ova verzija malvera dobije instrukcije servera, malver blokira telefon korisnika i prikazuje obaveštenje sa zahtevom da korisnik, zbog navodnog prekršaja, plati kaznu u iznosu od 500 dolara.

Međutim, ubrzo je nova verzija Trojanca Svpeng izgubila ovu funkcionalnost. Ispostavilo se da su sajber kriminalci koji stoje iza ovog malvera odlučili da poboljšaju malver i objave ga kao posebnog Trojanca. U to vreme, nastavilo se sa razvojem originalne verzije Trojanca koja je i dalje inficirala mobilne uređaje korisnika usluga online bankarstva ruskih banaka.

Početkom juna, Kaspersky Lab je identifikovao novu verziju Trojanca koja je tipični ransomware. Za razliku od originalne verzije koja cilja na korisnike u Rusiji, 91% uređaja zaraženih novom verzijom Trojanca su u SAD, dok su ostali u Velikoj Britaniji, Švajcarskoj, Nemačkoj, Indiji i Rusiji.

Novi Svpeng je ransomware koji posle pokretanja simulira skeniranje telefona na kome, naravno, nalazi zabranjeni sadržaj.

Malver blokira telefon i traži 200 dolara za deblokiranje uređaja. Uz to, on prikazuje fotografiju napravljenu prednjom kamerom telefona, slično kao što to radi i nedavno otkriveni prvi kripto-malver za Android, Trojan-Ransom.AndroidOS.Pletor.a.

Kriminalci prihvataju MoneyPack vaučere, a malver ljubazno informiše žrtve gde se ovi vaučeri mogu kupiti u SAD.

“Kada su u pitanju ransomware Trojanci, nova verzija Svpenga se ističe svojom potpuno novom implementacijom standardnih karakteristika - on potpuno blokira mobilni uređaj, čineći nemogućim pozivanje menija da bi se isključio ili restartovao uređaj”, kažu iz Kaspersky Laba. “Žrtva može isključiti uređaj pritiskom na on/off dugme u trajanju od nekoliko sekundi, ali Trojanac odmah počinje da radi čim se uređaj ponovo uključi.”

Kaspersky Lab je identifikovao nekoliko modifikacija novog Svpenga koje sve imaju mogućnost da šifruju podatke korisnika iako je za sada ne koriste.

Trojanac proverava da li su na uređaju instalirane aplikacije kao što su com.usaa.mobile.android.usaa, com.citi.citimobile, com.americanexpress.android.acctsvcs.us, i druge aplikacije američkih banaka za mobilno online bankarstvo i rezultate provere šalje serveru. Stručnjaci Kaspersky Laba pretpostavljaju da u ovom trenutku sajber kriminalci verovatno samo prikupljaju statističke podatke o upotrebi ovih aplikacija na zaraženim uređajima. Imajući u vidu da je Svpeng pre svega bankarski Trojanac, u Kaspersky Lab očekuju napade na klijente ovih banaka koji koriste mobilne aplikacije za online bankarstvo.