Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperta nuova variante del trojan bancario per Android Svpeng

keylogger  phishing  Svpeng  trojan   mercoledì, 2 agosto 2017

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del trojan bancario per dispositivi mobili Android Svpeng (identificato come Trojan-Banker.AndroidOS.Svpeng.ae), noto già dal 2013. Questa nuova versione introduce una funzionalità di keylogger realizzata sfruttando i servizi per l’accessibilità del sistema operativo Android.

I servizi per l’accessibilità di Android forniscono estensioni all’interfaccia utente che consentono di interagire con il dispositivo a persone con disabilità o a chi si trova nell’impossibilità di utilizzare i normali sistemi di input. Svpeng sfrutta questi servizi legittimi per intercettare il testo immesso dall’utente su altre app installate sul dispositivo, ottenere permessi elevati e contrastare i tentativi di disinstallare il trojan.

Svpeng viene distribuito da siti Web malevoli mascherato da falsa app di Flash Player. Una volta lanciato sul dispositivo, il malware richiede l’accesso ai servizi di accessibilità. Una volta ottenuta l’autorizzazione, Svpeng diviene amministratore del dispositivo senza ulteriore interazione da parte dell’utente ed è in grado di disegnare sopra altre app, configurarsi come app predefinita per la gestione degli SMS ed assegnarsi dinamicamente altri privilegi, tra cui quelli che gli consentono di inviare e ricevere SMS, effettuare chiamate ed accedere ai contatti. Inoltre, tramite i permessi acquisiti il trojan riesce a bloccare i tentativi di rimuovere i diritti di amministratore dall’app malevola, di fatto impedendone la rimozione dal sistema.

Svpeng banking trojan

Fonte: Kaspersky Lab

I servizi per l’accessibilità consentono al trojan di accedere all’interfaccia utente di altre applicazioni e sottrarre dati quali il nome e il contenuto degli elementi di interfaccia, incluso il testo inserito dall’utente. Inoltre, Svpeng è in grado di catturare una schermata ogni volta che l’utente preme un tasto sulla tastiera virtuale e di inviarla ad un server C&C.

Nei casi in cui l’app in primo piano non consente la cattura dello schermo, come accade per molte app bancarie, Svpeng disegna una finestra di phishing sopra l’app bersaglio.

Le recenti infezioni di Svpeng rilevate da Kaspersky mostrano che questa versione del trojan non è stata ancora distribuita in maniera massiccia, segno forse che si tratta di un malware ancora in fase di sviluppo. La maggior parte degli attacchi sono stati identificati in Russia (29%), Germania (27%), Turchia (15%), Polonia (6%) e Francia (3%). Da notare che, sebbene la Russia risulti il paese più colpito, il trojan è progettato per non attaccare i dispositivi configurati in lingua russa.

Al momento, il tasso di rilevazione di questa nuova variante di Svpeng da parte dei più diffusi antivirus appare piuttosto elevato.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda come sempre agli utenti di dispositivi Android di non scaricare app da store non ufficiali o da siti non affidabili e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Campagna di Email malevole ai danni di utenti italiani

20 giugno 2018

Il CERT-PA ha rilevato una nuova campagna di Email di spam indirizzata ad utenze italiane e volta alla diffusione di malware.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

Il trojan bancario BackSwap impiega tecniche innovative per attaccare i browser delle vittime

28 maggio 2018

I ricercatori di ESET hanno scoperto BackSwap, una nuova famiglia di trojan bancari che impiega tecniche innovative per aggirare le protezioni dei browser e rubare soldi dai conti correnti delle vittime.Leggi tutto