Новая версия банкера Svpeng обзавелась функциональностью кейлоггера

AmneziaWG
S

shooter

Original poster
В середине июля 2017 года эксперты «Лаборатории Касперского»

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

новую версию мобильного банковского трояна из известного семейства Svpeng — Trojan-Banker.AndroidOS.Svpeng.ae. Теперь малварь получила функциональность кейлоггера и осуществляет кражу вводимых данных с помощью специальных возможностей. Использование этой системы не по назначению позволяет трояну не только красть вводимый текст из других приложений, но и предоставлять себе больше прав, в том числе противодействуя попыткам деинсталляции.

Семейство Svpeng – далеко не новая угроза, более того, эта малварь известна своим новаторским подходом. Начиная с 2013 года эти вредоносы одними из первых стали совершать атаки на SMS-банкинг, начали использовать наложение фишинговых окон поверх других приложений, совершая при этом кражу данных учетной записи, а также блокировали устройства, требуя выкуп. В 2016 году киберпреступники активно распространяли Svpeng через AdSense, используя уязвимость в браузере Chrome. По мнению исследователей, все это говорит о том, что Svpeng является одним из наиболее опасных семейств мобильных вредоносных приложений.

Trojan-Banker.AndroidOS.Svpeng.ae распространяется через вредоносные сайты, в качестве поддельного Flash-проигрывателя. Эксперты предупреждают, что вредоносные методики трояна работают даже на полностью обновленных устройствах с последней версией Android и всеми установленными обновлениями безопасности.

Специалист «Лаборатории Касперского» Роман Унучек рассказывает, что после запуска Trojan-Banker.AndroidOS.Svpeng.ae проверяет язык интерфейса устройства и, если используемый язык не является русским, запрашивает разрешение на использование специальных возможностей.

Злоупотребление данной привилегией позволяет малвари выполнять множество вредоносных действий: троян предоставляет себе права администратора устройства, выдает себе права на показ своих окон поверх остальных приложений, устанавливает себя в качестве SMS-приложения по умолчанию и предоставляет себе несколько динамических разрешений, которые позволяют получать и отправлять SMS-сообщения, совершать вызовы и просматривать список контактов. Более того, используя полученные возможности, вредонос может блокировать любую попытку лишить его прав администратора устройства, предотвращая деинсталляцию. Тем самым он блокирует любую попытку добавить или удалить права администратора устройства, в том числе для любого другого приложения.

170726_banking-trojans-1-576x1024.png


Использование специальных возможностей позволяет угрозе получать доступ к интерфейсу других приложений и совершать кражу данных, включая названия и содержимое элементов интерфейса. Этим содержимым может являться, в том числе, и введенный текст. Кроме того, Svpeng делает снимки экрана каждый раз при нажатии кнопок на клавиатуре пользователем, загружая эти снимки на сервер злоумышленников. Троян поддерживает не только стандартную клавиатуру Android-устройств, но и несколько популярных сторонних клавиатур.

Некоторые приложения, в основном приложения мобильного банка, не позволяют делать снимки экрана, когда их окно находится поверх остальных окон. В таких случаях малварь использует другую возможность для кражи данных: выводит фишинговое окно поверх атакуемого приложения. Интересно, что для определения того, какое приложение находится поверх всех остальных, Svpeng тоже использует специальные возможности.

Исследователь рассказывает, что из получаемой Svpeng информации с управляющего сервера удалось перехватить зашифрованный конфигурационный файл. Расшифровав его, аналитик определил приложения, атакованные Svpeng и получил ссылки на фишинговые страницы. В файле обнаружились несколько антивирусных приложений, которые троян пытался блокировать, а также несколько приложений с выводимыми поверх них фишинговыми ссылками. Как и большинство мобильных банкеров, Svpeng выводит окно поверх некоторых приложений Google для кражи данных кредитных карт.

170726_banking-trojans-2-576x1024.png


Также конфигурационный файл содержал фишинговые ссылки для мобильных приложений PayPal и eBay, что позволяло совершать кражу данных учетной записи, и ссылки для приложений мобильного банка из различных стран:

  • Великобритания — 14 атакованных приложений мобильного банкинга;
  • Германия — 10 атакованных приложений мобильного банкинга;
  • Турция — 9 атакованных приложений мобильного банкинга;
  • Австралия — 9 атакованных приложений мобильного банкинга;
  • Франция — 8 атакованных приложений мобильного банкинга;
  • Польша — 7 атакованных приложений мобильного банкинга;
  • Сингапур — 6 атакованных приложений мобильного банкинга.
Кроме того, малварь может принимать следующие команды с управляющего сервера:

  • отправка SMS-сообщения;
  • сбор информации (контакты, установленные приложения и журналы вызовов);
  • сбор всех SMS-сообщений с устройства;
  • открытие ссылки;
  • начало перехвата входящих SMS-сообщений.
 
Название темы
Автор Заголовок Раздел Ответы Дата
H Новая версия трояна Quant “научилась” атаковать криптокошельки Новости в сети 0
Emilio_Gaviriya Статья Новая Эра приватности в мессенджерах: Отслеживание и защита. Анонимность и приватность 0
Support81 Новая функция в блокчейне Ethereum Create2 стала причиной кражи $60 млн Новости в сети 0
Denik Интересно Новая тактика Nobelium делает кибератаки практически незаметными Новости в сети 0
D Продам ⚡KILLNET - Новая технология убийства сети Все что не подошло по разделу 1
H Новая P2P биржа раздает свои токены Shiftal Coin (SFL) Корзина 0
C CASINO SCAM | 80% | Новая Команда Предоставляю работу. Ищу специалиста. 0
DOMINUS Новая уязвимость TikTok позволяет собирать личные данные пользователей Новости в сети 1
Denik Интересно Новая разработка военных США позволит распознавать лица в темноте Новости в сети 4
S Новая раздача токенов 25 OGN ( 5,8 $ уже торгуется ) Способы заработка 3
L Заработок без вложений. Новая схема Корзина 5
T Новая уязвимость в VirtualBox, позволяющая выполнить код на стороне хост-системы Полезные статьи 0
G От 1000 ₽ до 10.000 ₽ в день | Новая партнерка Способы заработка 1
Admin Новая анонимная сеть Riffle Анонимность и приватность 0
okeyproxy Ожидает оплаты OkeyProxy - Бесплатная пробная версия уже доступна! Раздача dedic/ssh/proxy 6
zladey1986 Jarvee Cracked / Nulled новая версия, full комбайн для разных соц сетей! Без ограничений! Продажа софта 0
Denik Интересно DUMP форума legalizer.info[полная версия]_слив Другое 1
A Программа, бот для склика Google Ads (проверенная версия списания средств) Продажа софта 0
A Программа, бот для склика Google Ads (проверенная версия списания средств) Продажа софта 1
A Программа, бот для склика Google Ads (проверенная версия списания средств) Продажа софта 9
JohnWoo Парсер 2GIS 6.0.1.5 (Полностью актуальная версия) Продажа софта 0
T Free версия Windscribe Корзина 0
Т Откат вк, нужна старая версия Вопросы и интересы 16
M Dumpper 90.06 Portable [En] Взлом Wi Fi / New версия Софт для работы с текстом/Другой софт 12
T NLBrute 1.2 x64 & 1.2 x64 VPN Edition- крякнутая версия Бруты/Парсеры/Чекеры 15
Glods SortDict [Актуальная версия - 1.0] by vankoo. Софт для работы с текстом/Другой софт 0
Glods ReplaceR [Актуальная версия - 1.0] by vankoo. Софт для работы с текстом/Другой софт 0
Glods Domain Mail Sort [Актуальная версия - 1.0] by vankoo. Софт для работы с текстом/Другой софт 0
Glods ArhivaR [Актуальная версия - 1.2] by vankoo. Софт для работы с текстом/Другой софт 1
Glods NormaBase [Актуальная версия - 1.2] by vankoo. Софт для работы с текстом/Другой софт 0
U Gater Proxy 8.9 Premium Крякнутая версия Proxy/Прокси 0

Название темы