En ny ændring af Svpeng Android malware er netop blevet rapporteret af sikkerhedseksperter. Det er i stand til at stjæle følsomme oplysninger fra de inficerede enheder og indeholder en masse avancerede funktioner.
Den Svpeng Android Malware Mål Høj
Den Svpeng Android malware er en velkendt bank Trojan lavet til Googles mobile styresystem. Det har udviklet sig gennem flere versioner, og har nu set en ny stor iteration, der har været med fremtrædende i et stort angreb kampagne. Den Svpeng Trojan inficerer primært enheder via hacker-kontrollerede reklamebudskaber tilgængelige på Google AdSense-netværket. De ondsindede tilfælde er skabt af de kriminelle og distribueret til mange genererede websteder, der er forbundet på nettet. En grundig sikkerhed undersøgelse afslører, at de Svpeng Android malware sider findes på alle mulige steder ikke bare en enkelt kategori (såsom nyhedsportaler).
Når offeret kommer i kontakt med de hackersites en ondsindet script er udført, der henter den eksekverbare til enhedens opbevaring. Dette er meget usædvanligt som almindelige downloads skal bekræftes af brugeren. Den Svpeng Android malware er i stand til at omgå de mekanismer downloade browser og infiltrere enhederne umiddelbart efter infektionen udløses.
Svpeng Android Malware Analysis
De sikkerhedseksperter afslører, at en særlig JavaScript-kode bundtet ind de steder er grunden til den sædvanlige browser downloade adfærd omgås. Programmørerne har angivet, at malware som standard skal gemmes til det flytbare lagermedie (hvis de er tilgængelige). For at skjule den skadelige adfærd koden viser et add-meddelelse. Det bruges til at levere Svpeng i en krypteret måde. Annoncen selv indeholder en speciel kommando, der dekrypterer den binære og kører filen på den berørte enhed.
Analytikerne formoder, at den kriminelle kollektiv bag den nye version stammer fra Rusland eller en russisk-talende land, da målene er udvalgt til at konfrontere til deres eget land og region. Google er blevet anmeldt af de forskere, som den exploit-kode er blevet bekræftet til at arbejde med Chrome-browseren. Sikkerheden hold (som at skrive denne artikel) har allerede udgivet en rettelse, der vil være til rådighed i den næste softwareopdatering. Bemærkelsesværdige websteder, der viste sig at distribuere Svpeng Trojan omfatte Rusland i dag og Meduza netværk af nyhedsportaler.
En af de vigtigste funktioner i Svpeng er dens bank Trojan-modul. Det forsøger at stjæle følsomme kontooplysninger, der er optaget på mobile banksystemer og apps. Dette gøres ved enten Keylogging input brugernavn og adgangskode kombinationer eller placere falske overlays, der ligner de virkelige steder. Den malware er blevet fundet at opfange anmodninger fra legitime online tjenester såsom Sberbank og Privat24, flittigt brugt i Rusland og russisktalende lande.
SvPeng Android Trojan også distribueres som en falsk app. Sikkerhedseksperterne kompileret af kendte tilfælde:
sidste browserbaseret update.apk, WhatsApp.apk, Google_Play.apk, 2GIS.apk, Viber.apk, DrugVokrug.apk,
Instagram,APK, VKontakte.apk, minecraftPE.apk, Skype,APK, Android_3D_Accelerate.apk,
SpeedBoosterAndr6.0.apk, ny-android-browser.apk, AndroidHDSpeedUp.apk, Android_update_6.apk,
WEB-HD-VIDEO-Player.apk, Asphalt_7_heat.apk, CHEAT.apk, Root_Uninstaller.apk, Mobo Genie,APK,
Chrome-update.apk, Trial_Xtreme.apk, Cut_the_Rope_2.apk, Ustanovka.apk, Temple_Run.apk
Svpeng Android Malware angreb kampagne
Den Svpeng Android malware bliver distribueret ved hjælp angreb kampagner, der er nøje planlagt på forhånd. En af de bemærkelsesværdige dem skete sidste år (Juli 2016). De indsamlede statistik data og malware prøver viser, at hacker-operatører foretrækker at lancere massive kampagner over en kort periode, før du opdaterer malware belastning og konfigurere den til en anden målgruppe.
Svpeng Android malware er yderst effektiv på inficerende enheder. For omkring to måneder virussen var i stand til at infiltrere 318 000 brugere, svarer det til omkring 37 000 infektioner per dag. Vi forventer, at fremtidige versioner af Svpeng vil bruge alternative tilgange, der vil øge infektionen forholdet. Som Google allerede er blevet underrettet om de annoncer, de er blevet blokeret af søgemaskinen og dens tjenester.
Den trojanske er i stand til at iværksætte følgende angreb på kompromitterede enheder:
- Overvågning - De kriminelle kan spionere på brugerne og deres aktiviteter i realtid. Dette omfatter alt fra at erhverve screenshots af deres handlinger til optagelse tastetryk og ansøgning interaktion.
- Trojan Modul - De hacker operatører kan etablere fjernforbindelser til de inficerede enheder og kontrollere dem efter behag. De kriminelle kan få kontrol på et givet tidspunkt ved hjælp af både systemet og administrative konto.
- Dataindsamling - Den Svpeng Trojan er i stand til at høste detaljerede oplysninger om systemet og alle installerede software. Den malware kan forespørge på listen over installerede programmer, den tilgængelige hardware og ressourcer og indsamle oplysningerne til statistik brug af hackere. Alt er så videresendes til hackere til videre brug.
- Filoverførsel - Den virus kan bruges til at downloade filer af interesse af hackere. De har adgang til hele filsystemet, herunder systemfiler og flytbare lagerenheder såsom microSD udvidelseskort. De kriminelle kan også filer til enhederne, en mulighed for at inficere ofrene med yderligere malware.
- DOS angreb kapaciteter - Den malware kan bruges til at initiere Denial-of-service, (AF) angreb mod hacker-forudsat ofre. Et netværk af Svpeng-inficerede indretninger kan anvendes som et botnet at tage ned en vis foruddefineret mål. Effektiv brug af denne funktion kan slå Svpeng til et meget farligt våben i hænderne på sine controllere. Det kan også lejes ud til andre hackere til gengæld for en stor gebyr.
Den SvPeng virus kode indleder flere fjernelse-resistente, som forbyder manuelle fjernelse muligheder ved at forhindre brugeren i at lukke vinduet, åbner indstillingsvinduet eller bedrager ofrene. Grundlæggende social engineering taktik er ansat - en adgangskode prompt vises der gentagne gange, at adgangskoden er forkert, selvom det er.
Yderligere Svpeng Android Malware angreb Forventet
Den Svpeng Android malware kan forårsage betydelige skader på de berørte enheder. Dette er grunden til, at kommende angreb er forudset af sikkerheden samfund. Der er flere mulige tilfælde scenarier, der kan bruges til at sprede fremtidige versioner af den trojanske:
- Opfølgende angreb - Hackerne kan koordinere fremtidige kampagner, der er baseret på det nuværende koncept. Mindre ændringer af koden, tilføjelse af nye domæner og omdøbt eksekverbare kan alle danne grundlag for et nyt angreb kampagne.
- Nye Distribution Strategies - Hackerne kan vælge at bruge de samme ondsindede eksekverbare med en ny spredning strategi. Dette omfatter stort set alle muligheder, der endnu ikke er omfattet af de eksisterende taktik. Eksempler indbefatter malware levering via en anden virusangreb, direkte hacker indtrængen og etc.
- En ny kampagne - Med denne indstilling anser oprettelsen af en ny Svpeng Android malware-version komplet med en moderniseret distributionsstrategi. Afhængigt af sværhedsgraden af de foretagne ændringer sikkerhedsindstillingerne analytikere kan ikke være i stand til at opdage angreb straks, hvis de er skjult ordentligt. Kun en detaljeret kode analyse kan afsløre, at koden er efterkommer fra malware familie.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: