Een nieuwe wijziging van de Svpeng Android malware is onlangs gemeld door security experts. Het is in staat om gevoelige informatie te stelen van de besmette apparaten en bevat een heleboel geavanceerde functies.
De Svpeng Android Malware Aims High
De Svpeng Android malware is een bekende banking Trojan gemaakt voor het mobiele besturingssysteem van Google. Het heeft zich ontwikkeld via verschillende versies en is nu gezien een nieuwe grote iteratie die prominent te zien in een grote aanval campagne. De Svpeng Trojan infecteert voornamelijk apparaten via-hacker gecontroleerde reclame-uitingen op het AdSense-netwerk Google. De kwaadaardige gevallen zijn gemaakt door de criminelen en verspreid naar vele gegenereerde sites die gekoppeld zijn op het web. Een grondige security onderzoek blijkt dat de Svpeng Android malware pagina's zijn te vinden op allerlei sites die niet slechts een enkele categorie (zoals nieuws portals).
Wanneer het slachtoffer in contact komt met de hackersites een kwaadaardig script wordt uitgevoerd dat het uitvoerbare bestand downloadt de opslag van het apparaat. Dit is zeer ongebruikelijk als gewone downloads moeten worden bevestigd door de gebruiker. De Svpeng Android malware is in staat om de browser te downloaden mechanismen te omzeilen en infiltreren de apparaten onmiddellijk na de infectie wordt geactiveerd.
Svpeng Android malware Analyse
De security experts blijkt dat een speciaal JavaScript-code gebundeld in de sites is de reden waarom de gebruikelijke browser downloaden gedrag wordt omzeild. De programmeurs hebben aangegeven dat standaard de malware moet worden opgeslagen op de verwijderbare opslag (indien beschikbaar). Om het kwaadaardig gedrag te verbergen de code geeft een add-bericht. Het wordt gebruikt om Svpeng te leveren in een gecodeerde manier. De advertentie zelf bevat een speciale opdracht die de binaire decodeert en loopt het bestand op het betreffende apparaat.
De analisten gaan ervan uit dat de criminele collectief achter de nieuwe versie zijn afkomstig uit Rusland of een Russisch-sprekende land als de doelstellingen worden gekozen om te confronteren met hun eigen land en regio. Google is aangemeld door de onderzoekers als de exploit code is bevestigd om te werken met de Chrome-webbrowser. Het security team (met ingang van het schrijven van dit artikel) hebben al een oplossing die beschikbaar zal zijn in de volgende software-update gepubliceerd. Opmerkelijke sites die werden gevonden om de Svpeng Trojan verspreiden onder Russia Today en het Meduza netwerk van nieuws portals.
Een van de belangrijkste functies van Svpeng is zijn banking Trojan module. Het probeert de gevoelige accountreferenties dat op mobiele bancaire systemen en applicaties worden ingevoerd stelen. Dit wordt gedaan door ofwel keylogging de ingang gebruikersnaam en wachtwoord combinaties of het plaatsen van vervalste overlays dat de echte locaties lijken. De malware is gevonden om de verzoeken van legitieme online diensten zoals Sberbank en Privat24 onderscheppen, op grote schaal gebruikt in Rusland en Russisch-sprekende landen.
SvPeng Android Trojan wordt ook gedistribueerd als een vervalsing app. De security experts samengesteld van bekende gevallen:
last-browser-update.apk, WhatsApp.apk, Google_Play.apk, 2GIS.apk, Viber.apk, DrugVokrug.apk,
Instagram,apk, VKontakte.apk, minecraftPE.apk, Skype,apk, Android_3D_Accelerate.apk,
SpeedBoosterAndr6.0.apk, new-android-browser.apk, AndroidHDSpeedUp.apk, Android_update_6.apk,
WEB-HD-VIDEO-Player.apk, Asphalt_7_heat.apk, CHEAT.apk, Root_Uninstaller.apk, Mobogenie,apk,
Chrome-update.apk, Trial_Xtreme.apk, Cut_the_Rope_2.apk, Ustanovka.apk, Temple_Run.apk
Svpeng Android Malware Attack Campaign
De Svpeng Android malware wordt verspreid gebruikt attack campagnes die zorgvuldig vooraf gepland. Een van de notabelen gebeurde vorig jaar (Juli 2016). De verzamelde statistische gegevens en de malware samples laten zien dat de hacker operators de voorkeur aan grote campagnes gedurende een korte periode van tijd te lanceren voor het updaten van de malware stam en configureren voor een andere doelgroep.
Svpeng Android malware is zeer efficiënt bij het infecteren van apparaten. Voor ongeveer twee maanden was het virus in staat om te infiltreren 318 000 gebruikers, komt dit neer op ongeveer 37 000 infecties per dag. We verwachten dat toekomstige versies van Svpeng gaan naar alternatieve benaderingen die de infectie verhouding zal stimuleren gebruiken. Zoals Google reeds in kennis gesteld van de advertenties die ze zijn geblokkeerd door de zoekmachine en haar diensten.
De Trojan is in staat om de volgende aanval op de besmette apparaten te lanceren:
- Toezicht - De criminelen kunnen bespioneren van de gebruikers en hun activiteiten in real time. Dit omvat alles van het verwerven van screenshots van hun acties om de toetsaanslagen te registreren en toepassing interactie.
- Trojan Module - De hacker operatoren kunnen externe verbindingen tot stand om de geïnfecteerde apparaten en te beheersen naar believen. De criminelen kunnen controle op een bepaald moment te verkrijgen met behulp van zowel het systeem als beheerdersaccount.
- Data Collection - De Svpeng Trojan is in staat om gedetailleerde informatie over het systeem en alle geïnstalleerde software te oogsten. De malware kan de lijst met geïnstalleerde toepassingen opvragen, de beschikbare hardware en de middelen en het verzamelen van de informatie voor de statistiek gebruik door de hackers. Alles wordt dan doorgegeven aan de hackers voor verder gebruik.
- Bestandsoverdracht - Het virus kan worden gebruikt om bestanden van de belangen downloaden door de hackers. Zij hebben toegang tot het hele bestand systeem, inclusief systeembestanden en verwijderbare opslagapparaten zoals microSD-uitbreidingskaarten. De criminelen kunt ook bestanden op de apparaten, een mogelijkheid om de slachtoffers met extra malware te infecteren.
- DOS Attack Capabilities - De malware kan worden gebruikt voor het initiëren Denial-of-service (VAN) aanvallen tegen-hacker voorzien slachtoffers. Een netwerk van Svpeng geïnfecteerde apparaten kunnen worden gebruikt als een botnet te nemen van een bepaalde vooraf vastgestelde doelstelling. Effectief gebruik van deze functie kan de Svpeng te zetten in een zeer gevaarlijk wapen in de handen van de controllers. Het kan ook worden verhuurd aan andere hackers in ruil voor een flinke vergoeding.
De SvPeng virus code initieert meerdere verwijderen resistente dat handmatige keuze verwijderen verboden wordt voorkomen dat de gebruiker het venster te sluiten, het openen van het raam instellingen of bedriegen de slachtoffers. Basic social engineering tactiek in dienst zijn - een wachtwoord gevraagd wordt weergegeven die herhaaldelijk gesteld dat het wachtwoord onjuist, ook al is het.
Verdere Svpeng Android Malware aanvallen Verwachte
De Svpeng Android malware kan aanzienlijke schade aan de getroffen apparaten veroorzaken. Dit is de reden waarom de komende aanvallen worden geanticipeerd door de security community. Er zijn verschillende mogelijke scenario's die kunnen worden gebruikt om toekomstige versies van de Trojan te verspreiden:
- Follow-up Attacks - De hackers kunnen toekomstige campagnes die zijn gebaseerd op het huidige concept coördinaat. Lichte wijzigingen van de code, de toevoeging van nieuwe domeinen en omgedoopt executables kunnen alle vormen de basis voor een nieuwe aanval campagne.
- New Distribution Strategies - De hackers kunnen kiezen om hetzelfde kwaadaardige uitvoerbare bestanden te gebruiken met een nieuwe spread strategie. Dit geldt ook voor vrijwel alle mogelijkheden die nog niet worden gedekt door de bestaande tactiek. Voorbeelden omvatten malware afgifte via een virusaanval, directe hacker inbraken en etc.
- Een nieuwe campagne - Deze optie beschouwt de oprichting van een nieuwe Svpeng Android-malware-versie, compleet met een vernieuwde distributiestrategie. Afhankelijk van de ernst van de gemaakte aanpassingen de veiligheid analisten mogelijk niet in staat om de aanvallen onmiddellijk te detecteren als ze goed zijn verborgen. Alleen een gedetailleerde code analyse kan onthullen dat de code is afstammeling van de malware familie.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: