Trojan bankowy zaatakował użytkowników Androida

Atak objął swym zasięgiem 318 000 urządzeń z Androidem.

Celem mobilnego trojana Svpeng jest kradzież informacji dotyczących kart bankowych. Szkodnik gromadzi również historię połączeń, wiadomości tekstowe i multimedialne, zakładki przeglądarki oraz kontakty. Svpeng atakuje głównie kraje rosyjskojęzyczne, posiada jednak potencjał globalnego rozprzestrzeniania się. Ze względu na specyficzny charakter dystrybucji szkodnika zagrożone są miliony stron internetowych na całym świecie wykorzystujących platformę AdSense w celu wyświetlania reklam na urządzeniach mobilnych.

Analizując proces ataku, badacze z Kaspersky Lab ustalili, że kampania rozpoczęła się od umieszczenia zainfekowanej reklamy w sieci Google AdSense. Trojan był pobierany tylko wtedy, gdy użytkownik odwiedzał witrynę ze spreparowaną reklamą za pośrednictwem przeglądarki Chrome na urządzeniu z systemem Android. Svpeng podszywał się pod niezbyt istotną aktualizację dla przeglądarki lub popularną aplikację, aby nakłonić użytkownika do wyrażenia zgody na instalację. Po uruchomieniu szkodliwe oprogramowanie znikało z listy zainstalowanych aplikacji i prosiło użytkownika o przyznanie mu praw administratora urządzenia. Takie działanie miało na celu utrudnienie wykrycia szkodliwego oprogramowania.

Cyberprzestępcy znaleźli sposób na obejście niektórych kluczowych funkcji bezpieczeństwa przeglądarki Google Chrome dla Androida. W normalnych warunkach, gdy plik APK jest pobierany na urządzenie mobilne za pośrednictwem zewnętrznego odsyłacza WWW, przeglądarka wyświetla ostrzeżenie o wykryciu potencjalnie niebezpiecznego obiektu. Twórcy trojana Svpeng wykryli i wykorzystali lukę w zabezpieczeniach, która umożliwiała pobieranie plików APK bez powiadamiania

użytkowników. Po zidentyfikowaniu błędu eksperci z Kaspersky Lab natychmiast zgłosili problem firmie Google, która bardzo szybko przygotowała odpowiednie uaktualnienie przeglądarki usuwające lukę.