Эксперты «Лаборатории Касперского» обнаружили новую модификацию мобильного банковского троянца Svpeng, который получил функциональность кейлоггера — то есть научился записывать нажатия клавиш на устройстве.
Эксперты «Лаборатории Касперского» обнаружили новую модификацию мобильного банковского троянца Svpeng, который получил функциональность кейлоггера — то есть научился записывать нажатия клавиш на устройстве.
Делает он это, эксплуатируя функции Android для людей с ограниченными возможностями. Троянец распространяется через вредоносные веб-сайты под видом фальшивого Flash-плеера. После активации Svpeng запрашивает права доступа к функциям для людей с ограниченными возможностями. Вместе с ними он приобретает множество дополнительных привилегий: например, получает доступ к интерфейсу других приложений и возможность делать скриншоты экрана каждый раз, когда на виртуальной клавиатуре набирается символ.
К наиболее опасным привилегиям, которыми наделяет себя Svpeng для сбора данных, относится возможность перекрывать окна других программ. Это необходимо ему, потому что некоторые приложения, в частности банковские, запрещают делать скриншоты во время своего отображения на экране. В таких случаях троянец выводит поверх приложения собственное фишинговое окно, куда пользователь и вводит данные, однако получают их уже киберпреступники. Исследователи обнаружили целый список фишинговых адресов, с помощью которых троянец атакует приложения нескольких ведущих банков Европы.
Кроме того, троянец назначает себя приложением для SMS по умолчанию, а также выдает себе права совершать звонки, доступ к контактам и возможность блокировать любые попытки отключить его администраторские привилегии. Таким образом, он делает свое удаление максимально трудным. При этом исследователи отмечают, что Svpeng способен воровать данные даже на полностью обновленных устройствах с последней версией Android.
Авторы данной модификации троянца еще не развернули свою активность в полную силу, поэтому общее число атак невелико. Большинство из них пришлись на Россию (29%), Германию (27%), Турцию (15%), Польшу (6%) и Францию (3%). При этом Svpeng обладает интересной особенностью: он не работает на устройствах с русским языком интерфейса. Такую тактику часто используют российские киберпреступники, которые стараются избежать проблем с законом после запуска зловредов.