Uma nova modificação do malware Svpeng Android acaba de ser relatada por especialistas em segurança. É capaz de roubar informações confidenciais dos dispositivos infectados e inclui muitos recursos avançados.
O malware Svpeng Android tem como objetivo alto
O malware Svpeng Android é um conhecido cavalo de Troia bancário feito para o sistema operacional móvel do Google. Ele evoluiu através de várias versões e agora viu uma nova iteração principal que foi destaque em uma grande campanha de ataque. O Trojan Svpeng infecta principalmente dispositivos por meio de mensagens publicitárias controladas por hackers, disponíveis na rede Google AdSense. As instâncias maliciosas são criadas pelos criminosos e distribuídas para muitos sites gerados com links na web. Um exame de segurança completo revela que as páginas de malware Svpeng Android são encontradas em todos os tipos de sites, não apenas em uma única categoria (como portais de notícias).
Quando a vítima entra em contato com os sites do hacker, um script malicioso é executado e baixa o executável para o armazenamento do dispositivo. Isso é muito incomum, pois os downloads comuns precisam ser confirmados pelo usuário. O malware Svpeng Android é capaz de contornar os mecanismos de download do navegador e se infiltrar nos dispositivos imediatamente após o início da infecção.
Análise de malware Svpeng Android
Os especialistas em segurança revelam que um código JavaScript especial agrupado nos sites é a razão pela qual o comportamento normal de download do navegador é contornado. Os programadores especificaram que, por padrão, o malware deve ser salvo no armazenamento removível (se disponível). Para ocultar o comportamento malicioso, o código exibe uma mensagem de adição. É usado para entregar Svpeng de forma criptografada. O próprio anúncio contém um comando especial que descriptografa o binário e executa o arquivo no dispositivo afetado.
Os analistas presumem que o coletivo criminoso por trás da nova versão é originário da Rússia ou de um país de língua russa, já que os alvos são selecionados para confrontar seu próprio país e região.. O Google foi notificado pelos pesquisadores quando o código de exploração foi confirmado para funcionar com o navegador Chrome. A equipe de segurança (enquanto escrevia este artigo) já publicou uma correção que estará disponível na próxima atualização de software. Sites notáveis que distribuíram o cavalo de Troia Svpeng incluem o Russia Today e a rede de portais de notícias Meduza.
Uma das principais funções do Svpeng é seu módulo de Trojan bancário. Ele tenta roubar as credenciais confidenciais da conta que são inseridas em sistemas e aplicativos de banco móvel. Isso é feito por keylogging das combinações de nome de usuário e senha de entrada ou colocando sobreposições falsificadas que se assemelham aos sites reais. O malware interceptou as solicitações feitas por serviços online legítimos, como Sberbank e Privat24, amplamente utilizado na Rússia e países de língua russa.
SvPeng Android Trojan também é distribuído como um aplicativo falsificado. Os especialistas em segurança compilaram de instâncias conhecidas:
last-browser-update.apk, WhatsApp.apk, Google_Play.apk, 2GIS.apk, Viber.apk, DrugVokrug.apk,
Instagram,apk, VKontakte.apk, minecraftPE.apk, Skype,apk, Android_3D_Accelerate.apk,
SpeedBoosterAndr6.0.apk, new-android-browser.apk, AndroidHDSpeedUp.apk, Android_update_6.apk,
WEB-HD-VIDEO-Player.apk, Asphalt_7_heat.apk, CHEAT.apk, Root_Uninstaller.apk, Mobogenie,apk,
Chrome-update.apk, Trial_Xtreme.apk, Cut_the_Rope_2.apk, Установка.apk, Temple_Run.apk
Campanha de ataque de malware Android Svpeng
O malware Svpeng Android está sendo distribuído usando campanhas de ataque cuidadosamente planejadas com antecedência. Um dos notáveis aconteceu no ano passado (Julho 2016). Os dados estatísticos coletados e as amostras de malware mostram que os operadores de hackers preferem lançar campanhas massivas em um curto período de tempo antes de atualizar a variedade de malware e configurá-la para outro grupo-alvo.
O malware Svpeng para Android é extremamente eficiente em infectar dispositivos. Por cerca de dois meses o vírus foi capaz de se infiltrar 318 000 Comercial, isso equivale a cerca de 37 000 infecções por dia. Prevemos que as versões futuras do Svpeng usarão abordagens alternativas que aumentarão a taxa de infecção. Como o Google já foi notificado dos anúncios, eles foram bloqueados pelo mecanismo de pesquisa e seus serviços.
O Trojan é capaz de lançar os seguintes ataques nos dispositivos comprometidos:
- Vigilância - Os criminosos podem espionar os usuários e suas atividades em tempo real. Isso inclui tudo, desde a aquisição de capturas de tela de suas ações até a gravação de pressionamentos de tecla e interação com o aplicativo.
- Módulo Trojan - Os operadores de hackers podem estabelecer conexões remotas com os dispositivos infectados e controlá-los à vontade. Os criminosos podem obter o controle a qualquer momento usando o sistema e a conta administrativa.
- Coleção de dados - O Trojan Svpeng é capaz de coletar informações detalhadas sobre o sistema e todos os softwares instalados. O malware pode consultar a lista de aplicativos instalados, o hardware e recursos disponíveis e coletar as informações para uso de estatísticas pelos hackers. Tudo é então retransmitido aos hackers para uso posterior.
- Transferência de arquivo - O vírus pode ser usado para baixar arquivos de interesses dos hackers. Eles têm acesso a todo o sistema de arquivos, incluindo arquivos de sistema e dispositivos de armazenamento removíveis, como cartões de expansão microSD. Os criminosos também podem enviar arquivos para os dispositivos, a possibilidade de infectar as vítimas com malware adicional.
- Capacidades de ataque DOS - O malware pode ser usado para iniciar a negação de serviço (DOS) ataques contra vítimas fornecidas por hackers. Uma rede de dispositivos infectados com Svpeng pode ser usada como um botnet para derrubar um certo alvo predefinido. O uso eficaz desse recurso pode transformar o Svpeng em uma arma muito perigosa nas mãos de seus controladores. Ele também pode ser alugado para outros hackers em troca de uma taxa elevada.
O código do vírus SvPeng inicia vários resistentes à remoção que proíbem as opções de remoção manual, impedindo que o usuário feche a janela, abrindo a janela de configurações ou enganando as vítimas. São empregadas táticas básicas de engenharia social - um prompt de senha é exibido, informando repetidamente que a senha está incorreta, mesmo que seja.
Antecipação de novos ataques de malware Svpeng para Android
O malware Svpeng Android pode causar danos significativos aos dispositivos afetados. Esta é a razão pela qual os próximos ataques são antecipados pela comunidade de segurança. Existem vários cenários de casos possíveis que podem ser usados para espalhar versões futuras do Trojan:
- Ataques de Acompanhamento – Os hackers podem coordenar futuras campanhas baseadas no conceito atual. Pequenas modificações no código, a adição de novos domínios e executáveis renomeados podem formar a base para uma nova campanha de ataque.
- Novas estratégias de distribuição – Os hackers podem optar por usar os mesmos executáveis maliciosos com uma nova estratégia de disseminação. Isso inclui praticamente todas as possibilidades que ainda não estão cobertas pelas táticas existentes. Os exemplos incluem a entrega de malware por meio de outro ataque de vírus, invasões diretas de hackers e etc.
- Uma nova campanha - Esta opção considera a criação de uma nova versão do malware Svpeng Android completa com uma estratégia de distribuição renovada. Dependendo da gravidade das modificações feitas, os analistas de segurança podem não ser capazes de detectar os ataques imediatamente se eles estiverem ocultos corretamente. Apenas uma análise detalhada do código pode revelar que o código é descendente da família do malware.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: