Szkodliwe programy mobilne 2013

Przeczytaj także: Szkodliwe programy mobilne 2012

Svpeng

W połowie lipca wykryliśmy program o nazwie Trojan-SMS.AndroidOS.Svpeng.a, który, w przeciwieństwie do swoich trojańskich odpowiedników SMS-owych, jest wykorzystywany głównie do kradzieży pieniędzy z konta bankowego ofiary zamiast z jego telefonu komórkowego. Nie może funkcjonować niezależnie i działa zgodnie z poleceniami otrzymywanymi z serwera kontroli (C&C). Szkodnik ten rozprzestrzenia się za pośrednictwem spamu SMS oraz ze zhakowanych legalnych stron, które przekierowują użytkowników mobilnych do szkodliwego zasobu. Tam użytkownik jest nakłaniany do pobrania i zainstalowania trojana imitującego aktualizację Adobe Flash Playera.

Svpeng potrafi robić wiele rzeczy

Zbiera informacje o smartfonie (IMEI, państwo, dostawca usługi, język systemu operacyjnego) i wysyła je do hosta za pośrednictwem protokołu HTTP POST. Jest to konieczne w celu określenia liczby banków, z jakich może korzystać ofiara. Obecnie Svpeng atakuje jedynie klientów rosyjskich banków. Cyberprzestępcy zwykle najpierw testują technologię na rosyjskim sektorze internetu, a dopiero potem wprowadzają ją na skalę globalną, atakując użytkowników w innych państwach.

Kradnie wiadomości SMS i informacje o połączeniach głosowych. Pomaga osobie atakującej ustalić, do których banków dzwoni właściciel smartfona – trojan otrzymuje listę numerów telefonu banków ze swojego serwera kontroli (C&C).

Kradnie pieniądze z konta bankowego ofiary. W Rosji niektóre duże banki oferują swoim klientom specjalną usługę, dzięki której mogą oni przelać pieniądze ze swojej karty bankowej na konto swojego telefonu komórkowego. Klienci muszą wysłać wiadomość tekstową ze swojego telefonu na określony numer konta bankowego. Svpeng wysyła odpowiednie wiadomości do serwisów SMS dwóch banków. W ten sposób chce sprawdzić, czy karty z tych banków są powiązane z numerem zainfekowanego telefonu, i dowiedzieć się, jakie jest saldo na rachunku. Jeżeli telefon jest powiązany z kartą bankową, z serwera kontroli (C&C) wysyłane są polecenia zawierające instrukcje przelania pieniędzy z konta bankowego użytkownika na jego konto mobilne. Następnie cyberprzestępcy przelewają te pieniądze do cyfrowego portfela lub na numer premium i deponują je.

Kradnie loginy i hasła do kont systemów bankowości online, podmieniając okno wyświetlane przez aplikację bankową. Obecnie jego celem są wyłącznie banki rosyjskie, jednak technologia wykorzystywana przez Svpenga może łatwo zostać wykorzystana w odniesieniu do innych aplikacji bankowych.

Kradnie informacje dotyczące kart bankowych (numer, data wygaśnięcia, CVC2/CVV2), imitując proces rejestracji karty bankowej w Google Play. Jeżeli użytkownik uruchomił Play Market, trojan przechwytuje to zdarzenie i wyświetla na górze okna Google Play pole zachęcające do podania danych dotyczących karty bankowej w fałszywym oknie. Dane wprowadzone przez użytkownika zostają wysłane cyberprzestępcom.
Wyłudza pieniądze od użytkowników, grożąc zablokowaniem smartfona: wyświetla komunikat z żądaniem wpłacenia 500 dolarów amerykańskich za odblokowanie urządzenia. W rzeczywistości trojan niczego nie blokuje i telefon może być bez problemów wykorzystywany.

Ukrywa ślady swojej aktywności, maskując wiadomości wychodzące i przychodzące i blokując połączenia oraz wiadomości z numerów należących do banku. Trojan pobiera listę numerów telefonów banku z serwera kontroli (C&C).

Zabezpiecza się przed usunięciem, żądając podczas instalacji praw administratora urządzenia. W efekcie przycisk usunięcia trojana z listy aplikacji staje się nieaktywny, co dla niedoświadczonych użytkowników może stanowić problem. Bez użycia wyspecjalizowanych narzędzi (takich jak Kaspersky Internet Security for Android) nie da się pozbawić trojana takich przywilejów. Aby zabezpieczyć się przed usunięciem, Svpeng wykorzystuje nieznaną wcześniej lukę w zabezpieczeniach Androida. Szkodnik wykorzystuje tę samą sztuczkę, aby uniemożliwić przywrócenie ustawień fabrycznych smartfona.

Trojan ten jest rozprzestrzeniany w Rosji i krajach Wspólnoty Niepodległych Państw. Jednak, jak już wspomnieliśmy wcześniej, przestępcy mogliby z łatwością skierować uwagę na użytkowników w innych krajach.