Trojan-Banker.AndroidOS.Svpeng.ae поширюється через шкідливі сайти, як підробленого Flash-плеєра. Експерти попереджають, що шкідливі методики трояна працюють навіть на повністю оновлених пристроях з останньою версією Android і всіма встановленими оновленнями безпеки.
Спеціаліст «Лабораторії Касперського» Роман Унучек розповідає, що після запуску Trojan-Banker.AndroidOS.Svpeng.ae перевіряє змінити мову пристрою та, якщо використовується мова не є російським, запитує дозвіл на використання спеціальних можливостей.
Зловживання даної привілеєм дозволяє малварі виконувати безліч шкідливих дій: троян надає собі права адміністратора пристрою, видає себе права на показ своїх вікон поверх інших додатків, встановлює себе в якості SMS-додатки за замовчуванням і надає собі кілька динамічних дозволів, які дозволяють отримувати і відправляти SMS -повідомлення, здійснювати виклики та переглядати список контактів. Більш того, використовуючи отримані можливості, шкідливий може блокувати будь-яку спробу позбавити його прав адміністратора пристрою, запобігаючи деінсталяцію. Тим самим він блокує будь-яку спробу додати або видалити права адміністратора пристрою, в тому числі для будь-якого іншого застосування.
Використання спеціальних можливостей дозволяє загрозу отримувати доступ до інтерфейсу інших додатків і здійснювати крадіжку даних, включаючи назви та вміст елементів інтерфейсу. Цим вмістом може бути, в тому числі, і введений текст. Крім того, Svpeng робить знімки екрану кожен раз при натисканні кнопок на клавіатурі користувачем, завантажуючи ці знімки на сервер зловмисників. Троян підтримує не тільки стандартну клавіатуру Android-пристроїв, але і кілька популярних сторонніх клавіатур.
Деякі додатки, в основному додатки мобільного банку, не дозволяють робити знімки екрану, коли їх вікно знаходиться поверх інших вікон. У таких випадках малваре використовує іншу можливість для крадіжки даних: виводить фішингових вікно поверх атакується додатки. Цікаво, що для визначення того, яка програма знаходиться поверх всіх інших, Svpeng теж використовує більш доступного режиму.
Також конфігураційний файл містив фішингові посилання для мобільних додатків PayPal і eBay, що дозволяло здійснювати крадіжку даних облікового запису, і посилання для додатків мобільного банку з різних країн:
- Великобританія - 14 атакованих додатків мобільного банкінгу;
- Німеччина - 10 атакованих додатків мобільного банкінгу;
- Туреччина - 9 атакованих додатків мобільного банкінгу;
- Австралія - 9 атакованих додатків мобільного банкінгу;
- Франція - 8 атакованих додатків мобільного банкінгу;
- Польща - 7 атакованих додатків мобільного банкінгу;
- Сінгапур - 6 атакованих додатків мобільного банкінгу.
Крім того, малваре може приймати такі команди з керуючого сервера:
- відправка SMS-повідомлення;
- збір інформації (контакти, встановлені додатки і журнали викликів);
- збір всіх SMS-повідомлень з пристрою;
- відкриття посилання;
- початок перехоплення вхідних SMS-повідомлень.
Поділися новиною з друзями: