SvpengAndroidマルウェアの新しい変更がセキュリティ専門家によって報告されました. 感染したデバイスから機密情報を盗むことができ、多くの高度な機能が含まれています.
SvpengAndroidマルウェアは高い目標を掲げています
Svpeng Androidマルウェアは、Googleのモバイルオペレーティングシステム用に作成された有名なバンキング型トロイの木馬です。. それはいくつかのバージョンを経て進化し、今では大規模な攻撃キャンペーンで目立つように取り上げられた新しい主要な反復が見られました. Svpengトロイの木馬は、主にGoogleAdSenseネットワークで利用可能なハッカー制御の広告メッセージを介してデバイスに感染します. 悪意のあるインスタンスは犯罪者によって作成され、Web上でリンクされている多くの生成されたサイトに配布されます. 徹底的なセキュリティ調査により、Svpeng Androidマルウェアページは、単一のカテゴリだけでなく、あらゆる種類のサイトで検出されていることが明らかになりました。 (ニュースポータルなど).
被害者がハッカーサイトに接触すると、実行可能ファイルをデバイスのストレージにダウンロードする悪意のあるスクリプトが実行されます. 通常のダウンロードはユーザーが確認する必要があるため、これは非常に珍しいことです. Svpeng Androidマルウェアは、ブラウザのダウンロードメカニズムをバイパスし、感染がトリガーされた直後にデバイスに侵入することができます.
SvpengAndroidマルウェア分析
セキュリティの専門家は、サイトにバンドルされている特別なJavaScriptコードが、通常のブラウザのダウンロード動作がバイパスされる理由であることを明らかにしています. プログラマーは、デフォルトでマルウェアをリムーバブルストレージに保存するように指定しています (可能な場合は). 悪意のある動作を隠すために、コードは追加メッセージを表示します. 暗号化された方法でSvpengを配信するために使用されます. 広告自体には、バイナリを復号化し、影響を受けるデバイスでファイルを実行する特別なコマンドが含まれています.
アナリストは、ターゲットが自国と地域に立ち向かうために選択されているため、新しいバージョンの背後にある犯罪集団はロシアまたはロシア語圏の国から発信されていると推測しています. エクスプロイトコードがChromeウェブブラウザで動作することが確認されたため、Googleは研究者から通知を受けました. セキュリティチーム (この記事を書いている時点で) 次のソフトウェアアップデートで利用できるようになる修正をすでに公開しています. Svpengトロイの木馬を配布していることが判明した注目すべきサイトには、RussiaTodayやニュースポータルのMeduzaネットワークなどがあります。.
Svpengの主な機能の1つは、バンキング型トロイの木馬モジュールです。. モバイルバンキングシステムやアプリに入力された機密性の高いアカウントのクレデンシャルを盗もうとします. これは、入力されたユーザー名とパスワードの組み合わせをキーログに記録するか、実際のサイトに似た偽造オーバーレイを配置することによって行われます。. このマルウェアは、SberbankやPrivat24などの正規のオンラインサービスからのリクエストを傍受することが判明しています。, ロシアおよびロシア語圏の国々で広く使用されています.
SvPeng Androidトロイの木馬は、偽造アプリとしても配布されています. 既知のインスタンスをまとめたセキュリティ専門家:
last-browser-update.apk, WhatsApp.apk, Google_Play.apk, 2GIS.apk, Viber.apk, DrugVokrug.apk,
インスタグラム,apk, VKontakte.apk, minecraftPE.apk, Skype,apk, Android_3D_Accelerate.apk,
SpeedBoosterAndr6.0.apk, new-android-browser.apk, AndroidHDSpeedUp.apk, Android_update_6.apk,
WEB-HD-VIDEO-Player.apk, Asphalt_7_heat.apk, CHEAT.apk, Root_Uninstaller.apk, モボゲニー,apk,
Chrome-update.apk, Trial_Xtreme.apk, Cut_the_Rope_2.apk, Установка.apk, Temple_Run.apk
SvpengAndroidマルウェア攻撃キャンペーン
Svpeng Androidマルウェアは、事前に慎重に計画された攻撃キャンペーンを使用して配布されています. 注目すべきものの1つは昨年起こった (7月 2016). 収集された統計データとマルウェアサンプルは、ハッカーオペレーターが、マルウェア株を更新して別のターゲットグループ用に構成する前に、短期間に大規模なキャンペーンを開始することを好むことを示しています。.
Svpeng Androidマルウェアは、デバイスへの感染に非常に効率的です. 約2か月間、ウイルスは侵入することができました 318 000 ユーザー, これは約に相当します 37 000 1日あたりの感染症. Svpengの将来のバージョンでは、感染率を高める代替アプローチが使用されると予想されます。. グーグルはすでに広告の通知を受けているので、それらは検索エンジンとそのサービスによってブロックされています.
このトロイの木馬は、侵入先のデバイスに対して次の攻撃を仕掛けることができます:
- 監視 –犯罪者は、ユーザーとその活動をリアルタイムでスパイできます. これには、アクションのスクリーンショットの取得から、キーストロークやアプリケーションの相互作用の記録まで、すべてが含まれます.
- トロイの木馬モジュール –ハッカーのオペレーターは、感染したデバイスへのリモート接続を確立し、それらを自由に制御できます. 犯罪者は、システムと管理アカウントの両方を使用して、いつでも制御を取得できます.
- データ収集 – Svpengトロイの木馬は、システムとインストールされているすべてのソフトウェアに関する詳細情報を収集できます。. マルウェアは、インストールされているアプリケーションのリストを照会できます, 利用可能なハードウェアとリソースを収集し、ハッカーが使用する統計情報を収集します. その後、すべてがハッカーに中継され、さらに使用されます.
- ファイル転送 –ウイルスは、ハッカーが関心のあるファイルをダウンロードするために使用される可能性があります. 彼らはファイルシステム全体にアクセスできます, システムファイルやmicroSD拡張カードなどのリムーバブルストレージデバイスを含む. 犯罪者はデバイスにファイルすることもできます, 被害者を追加のマルウェアに感染させる可能性.
- DOS攻撃機能 –マルウェアは、サービス拒否を開始するために使用される可能性があります (DOS) ハッカーが提供した犠牲者に対する攻撃. Svpengに感染したデバイスのネットワークをボットネットとして使用して、特定の事前定義されたターゲットを削除することができます. この機能を効果的に使用すると、Svpengをコントローラーの手に渡る非常に危険な武器に変えることができます. 高額な料金と引き換えに他のハッカーに貸し出すこともできます.
SvPengウイルスコードは、ユーザーがウィンドウを閉じないようにすることで手動による削除オプションを禁止する、いくつかの削除に強いものを開始します, 設定ウィンドウを開くか、被害者をだます. 基本的なソーシャルエンジニアリングの戦術が採用されています–パスワードが正しくないことを繰り返し示すパスワードプロンプトが表示されます, でも.
予想されるさらなるSvpengAndroidマルウェア攻撃
Svpeng Androidマルウェアは、影響を受けるデバイスに重大な損害を与える可能性があります. これが、セキュリティコミュニティが今後の攻撃を予期している理由です。. トロイの木馬の将来のバージョンを広めるために使用できるいくつかの可能なケースシナリオがあります:
- フォローアップ攻撃 –ハッカーは、現在の概念に基づいた将来のキャンペーンを調整できます. コードにわずかな変更, 新しいドメインと名前が変更された実行可能ファイルの追加はすべて、新しい攻撃キャンペーンの基盤を形成する可能性があります.
- 新しい流通戦略 –ハッカーは、新しい拡散戦略で同じ悪意のある実行可能ファイルを使用することを選択できます. これには、既存の戦術ではまだカバーされていない事実上すべての可能性が含まれます. 例には、別のウイルス攻撃によるマルウェア配信が含まれます, 直接ハッカーの侵入など.
- 新しいキャンペーン –このオプションでは、配布戦略が刷新された新しいSvpengAndroidマルウェアバージョンの作成が考慮されます。. 行われた変更の重大度によっては、セキュリティアナリストは、攻撃が適切に隠されている場合、攻撃をすぐに検出できない場合があります。. 詳細なコード分析のみが、コードがマルウェアファミリーの子孫であることを明らかにすることができます.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: