Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperta nuova variante del trojan bancario per Android Svpeng

keylogger  phishing  Svpeng  trojan   mercoledì, 2 agosto 2017

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del trojan bancario per dispositivi mobili Android Svpeng (identificato come Trojan-Banker.AndroidOS.Svpeng.ae), noto già dal 2013. Questa nuova versione introduce una funzionalità di keylogger realizzata sfruttando i servizi per l’accessibilità del sistema operativo Android.

I servizi per l’accessibilità di Android forniscono estensioni all’interfaccia utente che consentono di interagire con il dispositivo a persone con disabilità o a chi si trova nell’impossibilità di utilizzare i normali sistemi di input. Svpeng sfrutta questi servizi legittimi per intercettare il testo immesso dall’utente su altre app installate sul dispositivo, ottenere permessi elevati e contrastare i tentativi di disinstallare il trojan.

Svpeng viene distribuito da siti Web malevoli mascherato da falsa app di Flash Player. Una volta lanciato sul dispositivo, il malware richiede l’accesso ai servizi di accessibilità. Una volta ottenuta l’autorizzazione, Svpeng diviene amministratore del dispositivo senza ulteriore interazione da parte dell’utente ed è in grado di disegnare sopra altre app, configurarsi come app predefinita per la gestione degli SMS ed assegnarsi dinamicamente altri privilegi, tra cui quelli che gli consentono di inviare e ricevere SMS, effettuare chiamate ed accedere ai contatti. Inoltre, tramite i permessi acquisiti il trojan riesce a bloccare i tentativi di rimuovere i diritti di amministratore dall’app malevola, di fatto impedendone la rimozione dal sistema.

Svpeng banking trojan

Fonte: Kaspersky Lab

I servizi per l’accessibilità consentono al trojan di accedere all’interfaccia utente di altre applicazioni e sottrarre dati quali il nome e il contenuto degli elementi di interfaccia, incluso il testo inserito dall’utente. Inoltre, Svpeng è in grado di catturare una schermata ogni volta che l’utente preme un tasto sulla tastiera virtuale e di inviarla ad un server C&C.

Nei casi in cui l’app in primo piano non consente la cattura dello schermo, come accade per molte app bancarie, Svpeng disegna una finestra di phishing sopra l’app bersaglio.

Le recenti infezioni di Svpeng rilevate da Kaspersky mostrano che questa versione del trojan non è stata ancora distribuita in maniera massiccia, segno forse che si tratta di un malware ancora in fase di sviluppo. La maggior parte degli attacchi sono stati identificati in Russia (29%), Germania (27%), Turchia (15%), Polonia (6%) e Francia (3%). Da notare che, sebbene la Russia risulti il paese più colpito, il trojan è progettato per non attaccare i dispositivi configurati in lingua russa.

Al momento, il tasso di rilevazione di questa nuova variante di Svpeng da parte dei più diffusi antivirus appare piuttosto elevato.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda come sempre agli utenti di dispositivi Android di non scaricare app da store non ufficiali o da siti non affidabili e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Variante di Dridex distribuita mediante siti FTP compromessi

19 gennaio 2018

Gli esperti di Forcepoint hanno osservato una nuova campagna di distribuzione di del noto trojan bancario Dridex che sfrutta server FTP compromessi.Leggi tutto

Vulnerabilità di Microsoft Office sfruttate per diffondere il malware Zyklon HTTP

18 gennaio 2018

I ricercatori di FireEye hanno osservato una nuova campagna di diffusione del malware Zyklon HTTP mediante Email con allegati Microsoft Office malevoli.Leggi tutto

Malware per macOS modifica le impostazioni DNS

15 gennaio 2018

Recentemente è stato individuato un nuovo esemplare di malware per Mac, battezzato OSX/MaMi, che modifica la configurazione dei server DNS.Leggi tutto