Opasni bankarski trojanac Svpeng sada radi i kao keylogger i sprečava pokušaje da bude uklonjen sa uređaja

Mobilni telefoni, 02.08.2017, 10:00 AM

Stručnjaci Kaspersky Laba otkrili su sredinom prošlog meseca novu verziju poznatog mobilnog bankarskog trojanca Svpeng. Nova verzija malvera dobila je novu funkcionalnost - malver sada radi i kao keylogger koji omogućava napadačima da od žrtava kradu poverljive podatke.

Nova funkcija se oslanja na Accessibility Services, funkciju Androida koja pomaže korisnicima sa invaliditetom, kao i onima koji trenutno nisu u mogućnosti da rukuju uređajem (npr. vozači).

Ova novina omogućava Svpengu ne samo da krade uneti tekst iz aplikacija instaliranih na uređaju i da beleži sve što korisnik kuca, već mu obezbeđuje i više dozvola i prava koje trojanac koristi da bi sprečio žrtve da ga uklone sa uređaja.

Krajem prošle godine, Svpeng je inficirao više od 318000 Android uređaja širom sveta za samo dva meseca zloupotrebljavajući Google AdSense reklame za širenje.

Pre dva meseca, bezbednosni istraživači upozorili su na mogućnost Cloak i Dagger napada, koji koristi pogodnosti usluga pristupačnosti (Accessibility Services) i koji može da omogući napadačima da krišom preuzmu potpunu kontrolu nad inficiranim uređajima i krađu podataka korisnika.

Nova verzija Svpenga do sada je primećena u 23 zemlje. Najviše napadnutih korisnika je u Rusiji, Nemačkoj, Turskoj, Poljskoj i Francuskoj. Iako je najviše inficiranih uređaja u Rusiji, ruski korisnici ne moraju da brinu jer trojanac ne radi na uređajima na kojima je podrazumevani jezik ruski. To je tipično za ruske sajber kriminalce koji na taj način izbegavaju probleme sa vlastima.

Trojanac najpre proverava jezik uređaja. Ako je jezik ruski, malver dalje neće biti aktivan - ovo je posredni dokaz da iza malvera stoje ruski sajber kriminalci.

Svpeng je oduvek poznat kao inovativni malver. Od kada se pojavio 2013. godine, Svpeng je bio među prvima koji je napadao SMS banking, fišing stranicama prekrivao druge aplikacije da bi ukrao lozinke, i blokirao uređaje da bi ucenjivao žrtve. Prošle godine, sajber kriminalci su distribuirali Svpeng preko AdSensea pomoću ranjivosti u broweru Chrome. Zbog svoje inovativnosti, Svpeng je jedan od najopasnijih mobilnih malvera, zbog čega se pažljivo prati pojava novih verzija ovog malvera.

Kao što smo napomenuli, kada se pokrene Svepeng najpre proverava jezik uređaja. Ako nije ruski, trojanac traži dozvolu za korišćenje usluga pristupačnosti. Zloupotrebljavajući ovu privilegiju, malver može da uradi mnogo toga. On daje sebi administratorska prava, prikazuje se preko drugih aplikacija, postaje podrazumevana SMS aplikacija, obezbeđuje sebi neke dinamičke dozvole koje uključuju mogućnosti za slanje i primanje SMS poruka, obavljanje poziva i čitanje kontakata. Trojanac može da blokira sve pokušaje da mu se oduzmu administratorska prava i samim tim da spreči pokušaje uklanjanja sa uređaja. Pored toga, trojanac blokira i sve pokušaje da se daju ili oduzmu administratorska prava i drugim aplikacijama.

Koristeći usluge pristupačnosti trojanac pristupa korisničkom interfejsu drugih aplikacija i krade podatke iz njih, kao što su nazivi elemenata interfejsa i njihov sadržaj, ali i uneti tekst. Pored toga, Svpeng pravi snimke ekrana svaki put kada korisnik pritisne taster i šalje ih serveru koji je pod kontrolom sajber kriminalaca. On podržava ne samo standardnu Android tastaturu već i nekoliko drugih tastatura.

Neke aplikacije, uglavnom aplikacije banaka, ne dozvoljavaju slikanje ekrana kada se nalaze na vrhu. U tom slučaju, trojanac ima drugu opciju za krađu podataka - on crta svoj fišing prozor iznad napadnute aplikacije. Zanimljivo je da koristi usluge pristupačnosti da bi saznao koja je aplikacija na vrhu.

Dešifrovanjem presretnutog kriptovanog konfiguracionog fajla koji je Svpeng dobio sa svog komandno-kontrolnog servera, stručnjaci Kaspersky Laba su uspeli da otkriju koje aplikacije trojanac napada i da dođu do URL-ova fišing stranica, ali su otkrili i koje antivirusne aplikacije trojanac pokušava da blokira.

Svpeng kao i većina mobilnih bankarskih malvera, prekriva neke Googleove aplikacije da bi ukrao informacije o platnim karticama.

Konfiguracioni fajl sadrži fišing URL-ove za PayPal i eBay mobilne aplikacije i URL-ove za aplikacije banaka iz različitih zemalja. U konfiguracionom fajlu je još jedna aplikacija - Speedway, koja je nagradna, a ne finansijska aplikacija. Svpeng svejedno i nju prekriva fišing prozorom da bi ukrao email adresu i PIN kod.

Svpeng se širi sa malicioznih web sajtova kao lažni Flash Player. Ova taktika funkcioniše i na ažuriranim uređajima sa najnovijom verzijom Androida i svim instaliranim bezbednosnim ažuriranjima.