Cum folosesc hackerii funcțiile destinate persoanelor cu dizabilități pentru a le lăsa fără bani

Experții Kaspersky Lab au descoperit o nouă variantă a troianului mobil Svpeng care dispune de funcționalitatea keylogging, o tehnică cel mai adesea asociată cu autorii atacurilor cu țintă precisă.

Versiunea modificată a troianului sustrage textul introdus, cum ar fi datele bancare, prin compromiterea serviciilor Android pentru persoane cu dizabilități, disponibile în categoria Accesibilitate. Această metodă îi permite, de asemenea, troianului să-și acorde alte drepturi și să contracareze încercările de a-l dezinstala. Cercetătorii avertizează că simpla actualizare a programelor dispozitivelor nu le protejează de acest troian.

Serviciile din categoria Accesibilitate se referă, în general, la modificări aduse interfeței pentru utilizatori (UI) pentru a veni în sprijinul utilizatorilor cu dizabilități sau al celor care sunt temporar în incapacitatea de a interacționa la capacitate normală cu un dispozitiv, de exemplu atunci când sunt la volan. În iulie 2017, cercetătorii Kaspersky Lab au descoperit că Svpeng este acum în stadiul în care profită de acest sistem pentru a fura textul introdus în alte aplicații de pe dispozitiv și a-și acorda o serie de drepturi suplimentare.

Troianul este distribuit prin intermediul site-urilor malware, sub forma unei false aplicații flash player. La activare, cere permisiunea de a folosi serviciile din categoria Accesibilitate. Prin folosirea acestora, troianul poate să obțină următoarele: să aibă acces la interfețele altor aplicații, să realizeze screenshot-uri de fiecare dată când o tastă este atinsă și să vadă datele de autentificare ale conturilor bancare. Poate să-și acorde drepturi de administrator și să acopere alte aplicații. Capacitatea de acoperire este necesară deoarece anumite aplicații, în special cele bancare, nu permit realizarea de screenshot-uri. În asemenea cazuri, troianul plasează fereastra phishing deasupra aplicației respective. Cercetătorii au descoperit mai multe URL-uri phishing care țintesc aplicațiile bancare ale unor importante bănci de retail europene.

Mai departe, se poate instala singur ca aplicația SMS implicită, poate să trimită și să primească SMS-uri, să realizeze apeluri, să citească informațiile despre contactele existente în telefon și să blocheze orice tentativă de eliminare a drepturilor de administrator, împiedicând, astfel, dezinstalarea. Tehnicile troianului funcționează chiar și pe dispozitive actualizate, care au instalată ultima versiune a sistemului de operare Android și toate actualizările de securitate instalate.

Troianul nu este încă lansat la scară largă, iar numărul total al atacurilor este mic. Cele mai multe atacuri detectate au fost în Rusia (29%), Germania (27%), Turcia (15%), Polonia (6%) și Franța (3%). Acestea includ atacurile phishing.

”Folosirea keylogging-ului și a serviciilor din categoria Accesibilitate reprezintă o nouă dezvoltare pentru malware-ul de mobile banking și nu ne miră că Svpeng este liderul acestui segment”, spune Roman Unuchek, Senior Malware Analyst la Kaspersky Lab. “Familia malware Svpeng este cunoscută pentru capacitatea de inovare, care o face una dintre cele mai periculoase familii existente. A fost printre primele care au derulat atacuri asupra SMS-urilor bancare, care au folosit pagini phishing pentru a se substitui altor aplicații, au interceptat datele de autentificare și care au blocat dispozitivele pentru a cere bani. De aceea este atât de important să monitorizăm și să analizăm fiecare versiune nouă.”

Kaspersky Lab le recomandă utilizatorilor să instaleze pe dispozitive o soluție de securitate eficientă, cum este Kaspersky Internet Security for Android, să verifice întotdeauna că aplicațiile sunt create de un dezvoltator cunoscut și să nu descare nimic ce pare suspect sau a cărui sursă nu o pot verifica. Nu în cele din urmă, utilizatorii trebuie să aibă grijă atunci când le acordă aplicațiilor permisiuni suplimentare.



Citeste si