Kaspersky Lab mette in guarda contro la nuova variante di Svpeng, trojan per il mobile banking che ora presenta anche funzionalità “spia” per il keylogging.
Il trojan modificato spia il testo digitato, come le credenziali per l’online banking, sfruttando le impostazioni di accessibilità di Android. Solitamente, le impostazioni di accessibilità sono miglioramenti dell’interfaccia utente (UI) pensati per supportare gli utenti con disabilità, o chi non è momentaneamente in grado di interagire normalmente con il dispositivo. Kaspersky Lab ha scoperto che Svpeng si è evoluto per sfruttare queste funzionalità per rubare il testo inserito in altre app installate sul dispositivo, e ottenere così numerosi diritti aggiuntivi.
Il trojan viene distribuito sotto forma di falsa app flash player. Dopo l’attivazione, chiede il permesso di usare le impostazioni di accessibilità, grazie alle quali riesce ad accedere all’interfaccia utente delle altre app e fare uno screenshot ogni volta che viene premuto un tasto, rubando così informazioni sensibili. Inoltre, queste funzionalità consentono al trojan di ottenere i diritti di amministratore del dispositivo e la possibilità di sovrapporsi ad altre app, necessaria in quanto alcune applicazioni non consentono di fare screenshot quando sono in cima alle applicazioni aperte. Il trojan sovrappone, quindi, la propria pagina di phishing. Kaspersky Lab ha svelato un elenco di URL di phishing che prendono di mira le app bancarie delle principali banche europee.
Inoltre, Svpeng riesce a installarsi come app SMS di default, inviare e ricevere SMS, effettuare chiamate, leggere i contatti e bloccare ogni tentativo di rimozione – impedendo, quindi, la propria disinstallazione. Il trojan agisce anche sui dispositivi aggiornati, sui quali sono stati installati gli ultimi aggiornamenti di sicurezza e l’ultima versione di Android.
Il numero complessivo di attacchi, per fortuna, è ancora basso. La maggior parte è stata rilevata in Russia (29%), Germania (27%), Turchia (15%), Polonia (6%) e Francia (3%).
Come difendersi: i consigli di Kaspersky Lab
- Installate una soluzione di sicurezza affidabile, come Kaspersky Internet Security for Android
- Controllate che le app siano state create da uno sviluppatore affidabile
- Evitate di scaricare qualcosa che possa sembrare sospetto o la cui fonte non possa essere verificata
- Fate attenzione quando concedete privilegi aggiuntivi alle app
Morten Lehn, General Manager Italy, Kaspersky Lab
Le attività di keylogging e lo sfruttamento delle impostazioni di accessibilità sono un nuovo sviluppo del malware per il mobile banking e non siamo sorpresi di scoprire che Svpeng stia guidando il progresso. La famiglia di malware Svpeng è nota per l’innovazione, rappresentando una delle famiglie più pericolose in circolazione. È stata, ad esempio, tra le prime a condurre attacchi contro i servizi di SMS banking, a sovrapporre le pagine di phishing alle app per rubare le credenziali e a bloccare i dispositivi chiedendo un riscatto. Ecco perché è così importante monitorare e analizzare ogni nuova versione di questo Trojan.