Trojan-Banker.AndroidOS.Svpeng.ae поширюється через шкідливі сайти, як підробленого Flash-плеєра. Експерти попереджають, що шкідливі методики трояна працюють навіть на повністю оновлених пристроях з останньою версією Android і всіма встановленими оновленнями безпеки.
Спеціаліст «Лабораторії Касперського» Роман Унучек розповідає, що після запуску Trojan-Banker.AndroidOS.Svpeng.ae перевіряє змінити мову пристрою та, якщо використовується мова не є російським, запитує дозвіл на використання спеціальних можливостей.
Зловживання даної привілеєм дозволяє малварі виконувати безліч шкідливих дій: троян надає собі права адміністратора пристрою, видає себе права на показ своїх вікон поверх інших додатків, встановлює себе в якості SMS-додатки за замовчуванням і надає собі кілька динамічних дозволів, які дозволяють отримувати і відправляти SMS -повідомлення, здійснювати виклики та переглядати список контактів. Більш того, використовуючи отримані можливості, шкідливий може блокувати будь-яку спробу позбавити його прав адміністратора пристрою, запобігаючи деінсталяцію. Тим самим він блокує будь-яку спробу додати або видалити права адміністратора пристрою, в тому числі для будь-якого іншого застосування.
![Нова версія Банкера svpeng обзавелася функціональністю кейлоггера (svpeng) Нова версія Банкера svpeng обзавелася функціональністю кейлоггера](https://images-on-off.com/images/158/novayaversiyabankerasvpengobzavelasfunkt-a7fe9c85.png)
Використання спеціальних можливостей дозволяє загрозу отримувати доступ до інтерфейсу інших додатків і здійснювати крадіжку даних, включаючи назви та вміст елементів інтерфейсу. Цим вмістом може бути, в тому числі, і введений текст. Крім того, Svpeng робить знімки екрану кожен раз при натисканні кнопок на клавіатурі користувачем, завантажуючи ці знімки на сервер зловмисників. Троян підтримує не тільки стандартну клавіатуру Android-пристроїв, але і кілька популярних сторонніх клавіатур.
Деякі додатки, в основному додатки мобільного банку, не дозволяють робити знімки екрану, коли їх вікно знаходиться поверх інших вікон. У таких випадках малваре використовує іншу можливість для крадіжки даних: виводить фішингових вікно поверх атакується додатки. Цікаво, що для визначення того, яка програма знаходиться поверх всіх інших, Svpeng теж використовує більш доступного режиму.
![Нова версія Банкера svpeng обзавелася функціональністю кейлоггера (додатків мобільного банкінгу) Нова версія Банкера svpeng обзавелася функціональністю кейлоггера](https://images-on-off.com/images/158/novayaversiyabankerasvpengobzavelasfunkt-81395725.png)
Також конфігураційний файл містив фішингові посилання для мобільних додатків PayPal і eBay, що дозволяло здійснювати крадіжку даних облікового запису, і посилання для додатків мобільного банку з різних країн:
- Великобританія - 14 атакованих додатків мобільного банкінгу;
- Німеччина - 10 атакованих додатків мобільного банкінгу;
- Туреччина - 9 атакованих додатків мобільного банкінгу;
- Австралія - 9 атакованих додатків мобільного банкінгу;
- Франція - 8 атакованих додатків мобільного банкінгу;
- Польща - 7 атакованих додатків мобільного банкінгу;
- Сінгапур - 6 атакованих додатків мобільного банкінгу.
Крім того, малваре може приймати такі команди з керуючого сервера:
- відправка SMS-повідомлення;
- збір інформації (контакти, встановлені додатки і журнали викликів);
- збір всіх SMS-повідомлень з пристрою;
- відкриття посилання;
- початок перехоплення вхідних SMS-повідомлень.
Поділися новиною з друзями: