Мобильный фишинг — новый функционал андроид-троянца Svpeng

Со времени публикации нашего первого поста о мобильном троянце Trojan-SMS.AndroidOS.Svpeng злоумышленники усовершенствовали его функционал. Теперь Svpeng занимается еще и фишингом, пытаясь выудить финансовые данные пользователей.

Когда пользователь запускает банковское приложение одного из крупнейших российских банков, троянец подменяет открытое окно фишинговым, стремясь выудить у жертвы его логин и пароль к системе онлайн-банкинга:

Данные, которые вводит пользователь, отправляются злоумышленникам.

Похожим образом зловред пытается украсть данные о банковской карточке. Троянец проверяет, запущена ли программа Google Play:

Если пользователь запускает эту программу, троянец показывает поверх окна Google Play свое окно с предложением ввести данные банковской карточки:

Все введенные пользователем данные немедленно отправляются злоумышленникам.

Напомним, что этот же зловред умеет воровать деньги с банковских счетов своих жертв. Сразу после запуска троянец отправляет SMS-сообщения на номера двух крупных российских банков:

Таким образом он проверяет, привязаны ли к номеру зараженного телефона карты этих банков, и получает баланс, который отправляется на C&C сервер злоумышленников. Если телефон привязан к банковской карте, с командного центра могут приходить команды на перевод денег с банковского счета пользователя на его мобильный счет или на мобильный счет злоумышленников. Эти деньги злоумышленники могут обналичить, предварительно переведя их на свои электронные кошельки.

Пока троянец атакует клиентов только российских банков, но, как правило, злоумышленники, отработав технологию в Рунете, начинают использовать ее и в атаках на пользователей других стран. Уже сейчас после перезагрузки телефона вредоносная программа проверяет языковую версию операционной системы. Страны, которыми «интересуется» троянец: США (Us), Германия (De), Украина (Ua) и Беларусь (By).

После проверки Trojan-SMS.AndroidOS.Svpeng по команде сервера показывает пользователю окно с сообщением «Подождите, идет загрузка…» на соответствующем языке. Затем, если от C&C пришли указания, троянец открывает веб-страницу (скорее всего, фишинговую), адрес которой он также получает с C&C злоумышленников.

За три месяца существования троянца мы обнаружили 50 модификаций этой вредоносной программы, Kaspersky Internet Security для Android заблокировал более 900 установок троянца. Распространяется зловред с помощью вредоносного SMS-спама, например, такого:

Троянец очень заботится о самозащите:

Чтобы помешать антивирусам удалять его, троянец по-прежнему использует стандартный механизм Android – deviceAdmin.

А для того, чтобы пользователь не отключил ему DeviceAdmin, троянец использует ранее неизвестную уязвимость в Android. Таким же образом троянец пытается помешать сбросить настройки телефона на заводские.

Отметим, что, несмотря на все эти ухищрения, KIS для Android способен удалить вредоносную программу. Таким образом, антивирус – единственная защита от этого кибервора.