Описание вредоносного ПО

Мобильный фишинг — новый функционал андроид-троянца Svpeng

Со времени публикации нашего первого поста о мобильном троянце Trojan-SMS.AndroidOS.Svpeng злоумышленники усовершенствовали его функционал. Теперь Svpeng занимается еще и фишингом, пытаясь выудить финансовые данные пользователей.

Когда пользователь запускает банковское приложение одного из крупнейших российских банков, троянец подменяет открытое окно фишинговым, стремясь выудить у жертвы его логин и пароль к системе онлайн-банкинга:

Данные, которые вводит пользователь, отправляются злоумышленникам.

Похожим образом зловред пытается украсть данные о банковской карточке. Троянец проверяет, запущена ли программа Google Play:

Если пользователь запускает эту программу, троянец показывает поверх окна Google Play свое окно с предложением ввести данные банковской карточки:

Все введенные пользователем данные немедленно отправляются злоумышленникам.

Напомним, что этот же зловред умеет воровать деньги с банковских счетов своих жертв. Сразу после запуска троянец отправляет SMS-сообщения на номера двух крупных российских банков:

Таким образом он проверяет, привязаны ли к номеру зараженного телефона карты этих банков, и получает баланс, который отправляется на C&C сервер злоумышленников. Если телефон привязан к банковской карте, с командного центра могут приходить команды на перевод денег с банковского счета пользователя на его мобильный счет или на мобильный счет злоумышленников. Эти деньги злоумышленники могут обналичить, предварительно переведя их на свои электронные кошельки.

Пока троянец атакует клиентов только российских банков, но, как правило, злоумышленники, отработав технологию в Рунете, начинают использовать ее и в атаках на пользователей других стран. Уже сейчас после перезагрузки телефона вредоносная программа проверяет языковую версию операционной системы. Страны, которыми «интересуется» троянец: США (Us), Германия (De), Украина (Ua) и Беларусь (By).

После проверки Trojan-SMS.AndroidOS.Svpeng по команде сервера показывает пользователю окно с сообщением «Подождите, идет загрузка…» на соответствующем языке. Затем, если от C&C пришли указания, троянец открывает веб-страницу (скорее всего, фишинговую), адрес которой он также получает с C&C злоумышленников.

За три месяца существования троянца мы обнаружили 50 модификаций этой вредоносной программы, Kaspersky Internet Security для Android заблокировал более 900 установок троянца. Распространяется зловред с помощью вредоносного SMS-спама, например, такого:

Троянец очень заботится о самозащите:

Чтобы помешать антивирусам удалять его, троянец по-прежнему использует стандартный механизм Android – deviceAdmin.

А для того, чтобы пользователь не отключил ему DeviceAdmin, троянец использует ранее неизвестную уязвимость в Android. Таким же образом троянец пытается помешать сбросить настройки телефона на заводские.

Отметим, что, несмотря на все эти ухищрения, KIS для Android способен удалить вредоносную программу. Таким образом, антивирус – единственная защита от этого кибервора.

Мобильный фишинг — новый функционал андроид-троянца Svpeng

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике