Mobilny trojan bankowy zaatakował 318 000 użytkowników urządzeń z Androidem poprzez lukę w popularnej przeglądarce

Eksperci z Kaspersky Lab wykryli niedawno modyfikację mobilnego trojana bankowego Svpeng, ukrywającego się w sieci reklamowej Google’a — AdSense. Od połowy lipca Svpeng został wykryty na urządzeniach z systemem Android około 318 000 użytkowników, przy czym największy współczynnik infekcji wynosił 37 000 ofiar dziennie. Cyberprzestępcy, których celem była kradzież informacji dotyczących kart bankowych oraz danych osobistych, takich jak kontakty oraz historia połączeń, wykorzystywali błąd w przeglądarce Google Chrome dla systemu Android. Ponieważ firma Google usunęła już tę lukę, Kaspersky Lab może ujawnić pełne szczegóły dotyczące ataku.

Pierwszy znany przypadek ataku trojana Svpeng miał miejsce w połowie lipca i dotyczył rosyjskiej internetowej agencji informacyjnej. Podczas ataku trojan ukradkowo pobierał się na urządzenia z systemem Android należące do osób odwiedzających tę stronę.  

Analizując proces ataku, badacze z Kaspersky Lab ustalili, że kampania rozpoczęła się od umieszczenia zainfekowanej reklamy w sieci Google AdSense. Trojan był pobierany tylko wtedy, gdy użytkownik odwiedzał witrynę ze spreparowaną reklamą za pośrednictwem przeglądarki Chrome na urządzeniu z systemem Android. Svpeng podszywał się pod niezbyt istotną aktualizację dla przeglądarki lub popularną aplikację, aby nakłonić użytkownika do wyrażenia zgody na instalację. Po uruchomieniu szkodliwe oprogramowanie znikało z listy zainstalowanych aplikacji i prosiło użytkownika o przyznanie mu praw administratora urządzenia. Takie działanie miało na celu utrudnienie wykrycia szkodliwego oprogramowania.

Cyberprzestępcy znaleźli sposób na obejście niektórych kluczowych funkcji bezpieczeństwa przeglądarki Google Chrome dla Androida. W normalnych warunkach, gdy plik APK (aplikacja dla systemu Android) jest pobierany na urządzenie mobilne za pośrednictwem zewnętrznego odsyłacza WWW, przeglądarka wyświetla ostrzeżenie o wykryciu potencjalnie niebezpiecznego obiektu. Twórcy trojana Svpeng wykryli i wykorzystali lukę w zabezpieczeniach, która umożliwiała pobieranie plików APK bez powiadamiania użytkowników. Po zidentyfikowaniu błędu eksperci z Kaspersky Lab natychmiast zgłosili problem firmie Google, która bardzo szybko przygotowała odpowiednie uaktualnienie przeglądarki usuwające lukę. 

„Przypadek trojana Svpeng po raz kolejny potwierdza znaczenie współpracy między firmami. Naszym wspólnym celem jest ochrona użytkowników przed cyberatakami, dlatego niezwykle ważne jest, abyśmy razem działali w kierunku jego osiągnięcia. Cieszymy się, że mogliśmy się przyczynić do zwiększenia bezpieczeństwa platformy Android i dziękujemy firmie Google za błyskawiczną reakcję na zgłoszony przez nas błąd. Zachęcamy użytkowników Androida, by unikali pobierania aplikacji z niezaufanych źródeł i uważnie przyglądali się uprawnieniom, jakich żądają programy dodawane do urządzenia” — powiedział Nikita Buczka, analityk szkodliwego oprogramowania, Kaspersky Lab.  

Kaspersky Lab zaleca użytkownikom urządzeń z Androidem, by jak najszybciej uaktualnili przeglądarkę Google Chrome do najnowszej wersji.

Celem mobilnego trojana bankowego Svpeng jest kradzież informacji dotyczących kart bankowych. Szkodnik gromadzi również historię połączeń, wiadomości tekstowe i multimedialne, zakładki przeglądarki oraz kontakty. Svpeng atakuje głównie kraje rosyjskojęzyczne, posiada jednak potencjał globalnego rozprzestrzeniania się. Ze względu na specyficzny charakter dystrybucji szkodnika zagrożone są miliony stron internetowych na całym świecie wykorzystujących platformę AdSense w celu wyświetlania reklam na urządzeniach mobilnych.