Россию атакует Svpeng: киберпреступники научились воровать с помощью функций для инвалидов на смартфонах

Кражи с помощью функций для людей с ограниченными возможностями

Обладатели Android могут столкнуться с новой модификацией мобильного троянца Svpeng для кражи данных с банковских карт. О его существовании предупредили эксперты «Лаборатории Касперского», которые обнаружили его в середине июля этого года. Вирус распространяется через вредоносные сайты под видом фальшивого Flash-плеера. В активном состоянии он использует возможности accessibility services — функции для людей с ограниченными возможностями, получая доступ к интерфейсу других приложений и возможность делать скриншоты, когда на виртуальной клавиатуре набирается символ, говорится в пресс-релизе компании.

С помощью функций для людей с ограниченными возможностями Svpeng выбирает по умолчанию себя приложением для СМС, дает себе право совершать звонки, доступ к контактам и блокирует попытки отключить его администраторские привилегии. Однако самыми опасными привилегиями исследователи называют возможность перекрывать окна других программ, благодаря чему можно обойти запрет некоторых приложений, в частности банковских, делать скриншоты во время отображения на экране. Вирус выводит поверх приложения собственное фишинговое окно, куда клиент вводит данные, посылая их киберпреступникам. Специалисты отмечают, что они обнаружили целый список фишинговых адресов, с помощью которых троянец атакует приложения нескольких ведущих банков Европы.

Все эти махинации киберпреступники способны проводить даже на полностью обновленных устройствах с последней версией Android. Что интересно, на устройствах с русскоязычным интерфейсом вирус не работает. Исследователи объясняют это тем фактом, что такую тактику часто используют российские киберпреступники, чтобы избежать проблем с законом. Таким образом, можно предположить, что разработчиками троянца стали российские программисты.

Кибератаки вышли на новый уровень

Роман Унучек, старший антивирусный эксперт «Лаборатории Касперского», говорит о том, что использование функции для людей с ограниченными возможностями позволяет обходить многие защитные механизмы в последних версиях Android и воровать гораздо больше данных, чем раньше.

«Это семейство троянцев хорошо известно своими постоянными обновлениями, которые делают его одним из самых опасных зловредов. Svpeng был в первых рядах среди тех, кто научился атаковать СМС-банкинг, перекрывать банковские приложения фишинговыми страницами для кражи данных, а также блокировать устройства и требовать выкуп. Поэтому мы отслеживаем все изменения функционала этого троянца», — приводятся слова специалиста в пресс-релизе компании.

В блоге от 1 августа Роман Унучек писал, что в течение одной недели они зафиксировали незначительное количество атак, но география их распространения охватила 23 страны. Большинство атак пришлось на Россию (29%). Еще 27% атак зафиксировано в Германии, 15% — в Турции, 6% — в Польше и 3% — во Франции.

Превосходный шпион и угроза для мобильного банкинга

Специалист отдела исследований безопасности мобильных приложений Positive Technologies Николай Анисеня считает, что новая модификация вируса достаточно опасна хотя бы по той причине, что она не эксплуатирует уязвимости системы, просто имеет повышенные привилегии, которые пользователь сам выдает, а значит, вирус обходит все самые новые механизмы защиты на устройствах под Android.

— При этом троян имеет доступ к данным, отображаемым на экране, СМС-сообщениям, звонкам, набираемому на экране тексту. Эта функция делает вирус превосходным шпионом и угрозой для мобильного банкинга. Далеко не каждое банковское приложение способно противостоять таким угрозам со стороны легальных приложений. Многие приложения мобильного банкинга позволяют пользователям делать скриншоты, не проверяют наличие оверлеев (окон и других элементов интерфейса, расположенных поверх себя) и используют СМС-сообщения для подтверждения операций, — комментирует эксперт.

Заместитель руководителя лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин также говорит о том, что с использованием функций для людей с ограниченными возможностями собственные возможности вируса значительно выросли — например, в части перехвата данных с клавиатуры в других приложениях, благодаря чему стало возможно получить логины и пароли, переписки из других приложений. По мнению специалиста, скорость распространения вируса зависит от активности злоумышленников — рекламы, рассылки по СМС, рассылки по социальным сетям.

«Отметим, что во всех случаях пользователь сам ставит себе вирус на смартфон и дает этому вирусу соответствующие права. Таким образом, скорость распространения вируса зависит, к сожалению, от самих жертв, насколько они активно сами себе его устанавливают», — говорит Сергей Никитин.

По словам Николая Анисеня, количество троянов, пользующихся подобной технологией, постоянно растет, что не может не настораживать. Среди вирусов с похожим алгоритмом действия он называет Bankbot Malware, который маскировался под приложение Funny Videos 2017 и также был нацелен на банки.

— Троян атаковал пользователей более чем 400 банков по всему миру, используя оверлеи поверх приложений и перехватывая СМС-сообщения. Ворует он не только пароли от банковских аккаунтов, но и учетные данные приложений популярных социальных сетей и мессенджеров, — рассказывает специалист отдела исследований безопасности мобильных приложений Positive Technologies.

Еще один пример использования вирусом возможностей accessibility services — троян SpyDealer. Он действует на Android-устройствах, работающих под управлением версий от 2.2 до 4.4, но также может украсть информацию, используя функции доступности Android в последних версиях ОС. Николай Анисеня говорит о том, что вирус не распространяется через Google Play, поэтому опасность угрожает пользователям, устанавливающим приложения из ненадежных источников.