Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperta nuova variante del trojan bancario per Android Svpeng

keylogger  phishing  Svpeng  trojan   mercoledì, 2 agosto 2017

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del trojan bancario per dispositivi mobili Android Svpeng (identificato come Trojan-Banker.AndroidOS.Svpeng.ae), noto già dal 2013. Questa nuova versione introduce una funzionalità di keylogger realizzata sfruttando i servizi per l’accessibilità del sistema operativo Android.

I servizi per l’accessibilità di Android forniscono estensioni all’interfaccia utente che consentono di interagire con il dispositivo a persone con disabilità o a chi si trova nell’impossibilità di utilizzare i normali sistemi di input. Svpeng sfrutta questi servizi legittimi per intercettare il testo immesso dall’utente su altre app installate sul dispositivo, ottenere permessi elevati e contrastare i tentativi di disinstallare il trojan.

Svpeng viene distribuito da siti Web malevoli mascherato da falsa app di Flash Player. Una volta lanciato sul dispositivo, il malware richiede l’accesso ai servizi di accessibilità. Una volta ottenuta l’autorizzazione, Svpeng diviene amministratore del dispositivo senza ulteriore interazione da parte dell’utente ed è in grado di disegnare sopra altre app, configurarsi come app predefinita per la gestione degli SMS ed assegnarsi dinamicamente altri privilegi, tra cui quelli che gli consentono di inviare e ricevere SMS, effettuare chiamate ed accedere ai contatti. Inoltre, tramite i permessi acquisiti il trojan riesce a bloccare i tentativi di rimuovere i diritti di amministratore dall’app malevola, di fatto impedendone la rimozione dal sistema.

Svpeng banking trojan

Fonte: Kaspersky Lab

I servizi per l’accessibilità consentono al trojan di accedere all’interfaccia utente di altre applicazioni e sottrarre dati quali il nome e il contenuto degli elementi di interfaccia, incluso il testo inserito dall’utente. Inoltre, Svpeng è in grado di catturare una schermata ogni volta che l’utente preme un tasto sulla tastiera virtuale e di inviarla ad un server C&C.

Nei casi in cui l’app in primo piano non consente la cattura dello schermo, come accade per molte app bancarie, Svpeng disegna una finestra di phishing sopra l’app bersaglio.

Le recenti infezioni di Svpeng rilevate da Kaspersky mostrano che questa versione del trojan non è stata ancora distribuita in maniera massiccia, segno forse che si tratta di un malware ancora in fase di sviluppo. La maggior parte degli attacchi sono stati identificati in Russia (29%), Germania (27%), Turchia (15%), Polonia (6%) e Francia (3%). Da notare che, sebbene la Russia risulti il paese più colpito, il trojan è progettato per non attaccare i dispositivi configurati in lingua russa.

Al momento, il tasso di rilevazione di questa nuova variante di Svpeng da parte dei più diffusi antivirus appare piuttosto elevato.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda come sempre agli utenti di dispositivi Android di non scaricare app da store non ufficiali o da siti non affidabili e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Scoperta nuova versione del trojan bancario TrickBot con capacità di worm

4 agosto 2017

È stata individuata una nuova versione di TrickBot che incorpora un modulo che gli consente di diffondersi lateralmente sulle reti locali con la modalità di un worm.Leggi tutto

Nuove campagne di diffusione dei malware NemucodAES e Kovter

17 luglio 2017

Sono state individuate nelle scorse settimane nuove campagne di Email di spam che distribuiscono il ransomware NemucodAES e il trojan Kovter.Leggi tutto

Nuova campagna malware colpisce istituti finanziari in Italia

17 giugno 2017

I ricercatori della società Yoroi hanno individuato una pericolosa campagna di diffusione di malware in corso ai danni di organizzazioni italiane in ambito finanziario.Leggi tutto