Банковские трояны для Android

http://www.securelist.com/ru/blog/207769069/Novaya_versiya_Svpeng_natselena_na_zhiteley_SShA

Новая версия Svpeng нацелена на жителей США


Роман Унучек
Эксперт «Лаборатории Касперского»
опубликовано 11 июн 2014, 14:30 MSK
Сюжеты: Угрозы для мобильных устройств, Кибервымогательство, Google Android

0

Почти год назад мы написали первый блогпост про мобильный троянец Svpeng. Тогда оказалось, что на первый взгляд обычный зловред класса Trojan-SMS воровал деньги с банковских счетов посредством SMS-банкинга.
Позже мы обнаружили, что киберпреступники усовершенствовали функционал троянца, и тот стал активнее атаковать пользователей мобильного банкинга, в частности клиентов трех крупнейших российских банков. Svpeng дожидался, пока пользователь откроет окно приложения для онлайн-банкинга и заменял его своим, стремясь выудить у жертвы необходимые для авторизации логин и пароль. Кроме того, троянец пытался украсть данные банковской карты – для этого он перекрывал приложение Google Play своим окном, в котором запрашивал нужную преступникам информацию.

Затем, в начале 2014 года, нам удалось обнаружить новую модификацию Svpeng, обладающую возможностями троянца-вымогателя. По команде с сервера зловред пытался блокировать работу телефона, показывая его владельцу окно с сообщением о мнимом преступлении и требованием уплаты «штрафа» в размере 500 долларов.

Но достаточно быстро этот функционал пропал из новых версий Svpeng. Как оказалось, киберпреступники решили доработать его и выпустить в виде отдельного троянца. Все это время основная версия Svpeng продолжала развиваться и заражать новых пользователей, оставаясь при этом нацеленной на российских пользователей мобильного банкинга.
Но в начале июня нам удалось обнаружить новую, побочную версию этого троянца. В то время, как основная версия нацелена на Россию, 91% процент заражений новой версией приходятся на США. Кроме того, зловред атаковал пользователей из Великобритании, Швейцарии, Германии, Индии и России.
По своим возможностям новый Svpeng – типичный вымогатель. После запуска он имитирует сканирование телефона…

…и конечно же находит запрещенный контент.

Далее зловред блокирует телефон, и требует заплатить 200 долларов за разблокировку, при этом показывая фотографию пользователя, сделанную фронтальной камерой – практически также действовал недавно обнаруженный Trojan-Ransom.AndroidOS.Pletor.a.

Для получения выкупа создатели троянца используют ваучеры MoneyPak – Svpeng заботливо подсказывает жертве американские магазины, в которых их можно приобрести.

Среди прочих троянцев-вымогателей новую модификацию Svpeng выделяет качественно новая реализация стандартных возможностей – зловред полностью блокирует мобильное устройство, вплоть до невозможности вызвать меню отключения/перезагрузки устройства. Жертва может отключить смартфон с помощью долгого нажатия кнопки выключения, но троянец, конечно же, стартует сразу же после повторного запуска системы.
Нам удалось найти 7 модификаций нового Svpeng, причем в каждой есть упоминание класса Cryptor, но нет ни одной попытки его использования. Это может означать, что в дальнейшем злоумышленники начнут с помощью зловреда шифровать данные пользователя и требовать выкуп за их расшифровку.
Кроме всего функционала, относящегося к вымогательству, в этих версиях есть и другая интересная особенность. Троянец проверяет, не установлены ли в системе приложения из списка:

[ul]
[li]com.usaa.mobile.android.usaa[/li][li]com.citi.citimobile[/li][li]com.americanexpress.android.acctsvcs.us[/li][li]com.wf.wellsfargomobile[/li][li]com.tablet.bofa[/li][li]com.infonow.bofa[/li][li]com.tdbank[/li][li]com.chase.sig.android[/li][li]com.bbt.androidapp.activity[/li][li]com.regions.mobbanking[/li][/ul]
А затем загружает результаты проверки на сервер злоумышленников. Как видите, в этом списке перечислены приложения для мобильного банкинга, предлагаемые крупнейшими банками США. Скорее всего, злоумышленники пока собирают статистику об использовании этих приложений на зараженных устройствах своих жертв. И учитывая, что Svpeng – это в первую очередь банковский троянец, в будущем стоит ожидать атак на клиентов этих банков, использующих мобильные приложения для работы со своим счетом.

А зачем выходить в онлайн-банкинг через мобильник? В чем срочность?

Спасибо. Интересно. Читал об этом, стоит задуматься.

Kerr, не знаю, как кто, а у меня коммьют занимате 4 часа в день примено, и я очень многое делая через смартфон, в том числе и банкинг. Знаю о уязвимости, пытаюсь свести шансы стать жертвой к минимуму, но прогресс на месте не стоит. Кто знает - тот вооружен.

Это жесть (выделенное)!=0
У меня просто нет слов. Но, не лучше ли подождать, пока доберешься до нормального компа?

А моего банка в списке приложений нет. Радоваться?

Ну, это не мы такие, это жизнь такая:) Зато сплю спокойно и доча ходит в хорошую школу.

Перечитал статью, у меня такая фигня с ФБР вылезна одни раз на компе…когда я гулял по интернету. Перезагрузил комп, прогнал антивирус – пока ничего не обнаружено. Даже не знаю…я и с компа захожу на онлайн банкинг.

1 симпатия

грустить, не тот банк выбрали:whats_up:

:slight_smile: Не “крупнейший в США”? Переживу.

Я чеки депонирую через смартфон. А иначе надо заводить машину и ехать в банк.

А что за статьи 161, 148, 215 и 301 криминального кодекса США? И с каких пор просмотр порносайтов является федеральным преступлением? :slight_smile: Может я чего не знаю?

срочно сотрите последнюю часть сообщения

блин, напугали. обновил антивирус.

Если сайты с детской порнографией то да, является преступлением. Остальную вроде в соответствии с правом на частную жизнь гарантированным конституцией можно смотреть, если дома))) Так что не надо нервничать)))

1 симпатия

это такая тонкая черта…особенно касаемо частной жизгни:whats_up:

BoA рулит.
Можно в банкинг с нормального компа выходить, пользуясь телефоном как точкой раздачи WiFi. Ну если ноут с собой)

да все они рулят и точно также уязвимы. Сити недавно обновил мобильное приложение

Тема “Как трояны попадают на андроид?” - не раскрыта.

1 симпатия

помоему это очевидно - через порносайты :slight_smile:

С МОБИЛЫ?=0

Ну а вдруг кому сильно надо? (или технически нельзя?)

1 симпатия