Инциденты

С добрым утром, Android!

Сегодня утром мы столкнулись с актом вопиющей жестокости по отношению к пользователям ОС Android. Просматривая утром за чашечкой кофе свои любимые новостные сайты, они могли абсолютно бесплатно и без лишних кликов получить на свое Android устройство приложение last-browser-update.apk – банковского троянца, который детектируется антивирусными решениями «Лаборатории Касперского» как Trojan-Banker.AndroidOS.Svpeng.q. И могут получить его до сих пор! Будьте внимательны!

С добрым утром, Android!

Загрузка вредоносного приложения при заходе на новостной сайт, использующий AdSense

Как выяснилось, загрузка зловреда происходит посредством рекламной сети Google AdSense, которая используется многими (не только новостными) сайтами для показа пользователям таргетированной рекламы. Владельцы сайтов размещают подобную рекламу, т. к. получают прибыль за каждый клик пользователя по ней. При этом зарегистрировать свое рекламное объявление в этой сети может любой желающий, нужно лишь заплатить некую сумму. По всей видимости, авторы троянца Svpeng не поскупились и разместили свое детище в AdSense. Загрузка троянца происходит сразу же при посещении страницы с рекламным объявлением.

В середине июля подобный случай уже был зарегистрирован новостным порталом Meduza. В результате они отключили на своих страницах показ рекламы из AdSense. Тогда таким образом распространялась более ранняя версия троянца.

С добрым утром, Android!

Скриншот с сайта Meduza (https://new.vk.com/wall-76982440_659517)

Банковские троянцы семейства Svpeng уже давно известны «Лаборатории Касперского» и обладают довольно стандартным набором вредоносных функций. После установки и запуска он скрывается из списка установленных приложений и запрашивает права админисратора устройства (для затруднения своего удаления антивирусами и пользователем). Svpeng может красть информацию о банковских картах пользователя с помощью фишинговых окон, перехватывать, удалять и отправлять текстовые сообщения (это нужно для атаки на системы ДБО, использующие SMS в качестве транспорта). Также зловред может противодействовать популярным в России мобильным защитным решениям путем завершения их процессов.

С добрым утром, Android!

Помимо этого, Svpeng собирает внушительное количество информации с телефона пользователя – историю звонков, текстовых и мультимедийных сообщений, контакты и закладки браузера.

Будьте бдительны и используйте антивирусные решения!

Обновление 15.08.2016: представитель «Медузы» сообщил, что их проблема с AdSense решена и сайт издания более не заразен.

С добрым утром, Android!

Ответить

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Cancel

  1. Valar-anubis-bro

    Супер, вот как надо работать! Красавцы!

  2. Алексей

    Подскажите, если он просто скачался, но я его не запускал. Дальше нашел в проводнике в папке загрузок и удалил. Достаточно ли этого? Телефон не рутован.

  3. Дон

    Такой же вопрос как и у Алексея: Достаточно ли этого? Телефон также не рутован.

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике