Mobilni bančni trojanec napadel 318.000 uporabnikov prek ranljivosti v priljubljenem brskalniku

14.11.2016
Objavil: Dare Gliha

Strokovnjaki Kaspersky Laba so nedavno odkrili modifikacijo mobilnega bančnega trojanca Svpeng, ki se je skrival v Googlovi oglaševalski mreži AdSense. Od sredine julija letos je bil Svpeng zaznan na napravah z operacijskim sistemom Android več kot 318.000 uporabnikov in dosegel stopnjo okužbe več kot 37.000 žrtev na dan.

Napadalci, katerih namen je kraja podatkov o bančnih karticah in osebnih podatkov, kot so kontakti in zgodovina klicev, so izkoriščali ranljivost v brskalniku Google Chrome za naprave z operacijskim sistemom Android. Po tem, ko je Google odpravil napako, lahko strokovnjaki Kaspersky Laba razkrijejo podrobnosti napada.

Prvi znani primer napada trojanca Svpeng prek ranljivosti v brskalniku Chrome za Android se je pripetil sredi julija letos na ruskem spletnem viru novic. Med napadom se je trojanec neopazno prenesel na naprave obiskovalcev spletne strani, ki delujejo na operacijskem sistemu Android.

V procesu razkrivanja napada so raziskovalci Kaspersky Laba ugotovili, da začetek te grožnje sega do okuženega oglasa na oglaševalski mreži Google AdSense. Običajno se je oglas prikazoval na neokuženih spletnih straneh, pri tem pa se je trojanec prenesel le takrat, ko je uporabnik obiskal stran prek brskalnika Chrome na napravi z operacijskim sistemom Android. Svpeng se je pretvarjal za pomembno posodobitev brskalnika ali priljubljeno aplikacijo in tako prepričal uporabnika v odobritev dovoljenja za namestitev. Ko se je zlonamerna programska oprema zagnala, je izginila s seznama nameščenih aplikacij in od uporabnika zahtevala dodelitev skrbniških pravic za napravo. To je odkrivanje zlonamerne programske opreme še otežilo.

Napadalci so, kot kaže, našli način, kako lahko zaobidejo nekatere varnostne lastnosti brskalnika Google Chrome za Android. Ko uporabnik običajno prenese aplikacijski paket Android (angl. Android application package oz. APK) na mobilno napravo prek zunanje povezave, brskalnik prikaže opozorilo o prenosu potencialno nevarne datoteke. V tem primeru pa so nepridipravi našli varnostno pomanjkljivost, ki je omogočila prenos aplikacijskega paketa Android brez opozorila uporabnikom. O odkriti napaki je Kaspersky Lab nemudoma obvestil Google. Programski popravek bo tako na voljo v posodobitvi za brskalnik Google Chrome za Android.

»Primer trojanca Svpeng znova potrjuje pomembnost sodelovanja med podjetji. Druži nas cilj varovanja uporabnikov pred kibernetskimi napadi, za to pa je nujno skupno ukrepanje. Veseli smo, da smo lahko pripomogli k večji varnosti operacijskega sistema Android. Ob tem se zahvaljujemo podjetju Google za hitro ukrepanje po našem obvestilu. Prav tako pozivamo uporabnike naj se izogibajo prenosu aplikacij iz virov, ki niso zaupljivi, in previdnost pri tem, kakšna dovoljenja dajejo in zakaj,« je povedal Nikita Buchka, analitik zlonamerne programske opreme pri Kaspersky Labu.
Kaspersky Lab svetuje uporabnikom posodobitev brskalnika Chrome za Android z najnovejšo različico, namestitev učinkovite varnostne rešitve in pozornost na orodja in tehnike, ki jih uporabljajo kibernetskih kriminalci z namenom, da spodbudijo namestitev zlonamerne programske opreme in strinjanje z dodelitvijo prevelikega obsega pravic na napravi.

Mobilni bančni trojanec Svpeng je namenjen kraji podatkov o bančnih karticah. Prav tako zbira podatke o zgodovini klicev, tekstovna in multimedijska sporočila, zaznamke v brskalniku in kontakte. Kljub temu, da Svpeng pretežno napada uporabnike v rusko govorečih državah, pa ima potencial za globalno širitev. Glede na specifično naravno razširjanja zlonamerne programske opreme je lahko ogroženih na milijone spletnih strani po vsem svetu, med katerimi mnoge uporabljajo AdSense za prikaz oglasov.

Kaspersky Lab je zaznal modifikacijo zlonamerne programske opreme kot Trojan-Banker.AndroidOS.Svpeng.q. Podrobnosti o trojancu Svpeng lahko preberete na spletni strani Securelist.com.