Utrecht, 11 juni 2014 – Ondanks het feit dat de Gameover Zeus botnet en Cryptolocker ransomware onschadelijk zijn gemaakt, is het nog te vroeg om te juichen. Ten eerste verloopt de deadline van twee weken op 17 juni, zodat de cybercriminelen nog een week de tijd hebben om de controle over hun botnet terug te krijgen. Ten tweede hebben de verhalen over de
Gameover Zeus en Cryptolocker campagne al geleid tot een aantal na-apers, ook onder mobiele malware auteurs.
Afgelopen zondag, 8 juni, detecteerde
Kaspersky Lab een mobiele Trojan die op dit moment actief is in de VS en het VK, genaamd
Svpeng. Deze combineert de functionaliteit van financiële malware met ransomware-mogelijkheden. Dit is de eerste keer dat Svpeng, een beruchte, geld stelende mobiele Trojan in Rusland, zijn aandacht richt op andere markten.
Op het moment steelt dit stukje malware, naar verluidt van Russische afkomst, geen inloggegevens. Dit is echter een kwestie van tijd, want Svpeng is slechts een aangepaste vorm van een bekende Trojan die actief is in Rusland en daar voornamelijk wordt gebruikt voor het stelen van geld. Daarnaast bevat de code van deze Trojan enkele verwijzingen naar de nog niet eerder gebruikte Cryptor-methode. Het is dus waarschijnlijk dat Svpeng binnenkort zal worden ingezet voor bestandsencryptie. In dat geval zal Svpeng uitgroeien tot de op een na bekendste mobiele malware met dergelijke functionaliteit, na
Pletor, dat in mei 2014 opdook.
Svpeng zoekt op de telefoon van een gebruiker naar bepaalde financiële toepassingen - waarschijnlijk meer voor toekomstig gebruik, wanneer het login/wachtwoordgegevens begint te stelen voor online bankieren, zoals het nu doet bij Russische bankrekeningen. Het Engelstalige Svpeng controleert momenteel op de aanwezigheid van de volgende applicaties op het toestel van een slachtoffer:
· USAA Mobile
· Citi Mobile
· Amex Mobile
· Wells Fargo Mobile
· Bank of America Mobile Banking
· TD App
· Chase Mobile
· BB&T Mobile Banking
· Regions Mobile
Vervolgens vergrendelt het het scherm van het mobiele apparaat met een nagebootste melding over een FBI-straf en eist het $ 200 in de vorm van Green Dot’s MoneyPak-kaarten.
Op het moment zien we dat meer dan 91% van de aanvallen is gericht op Engelstalige gebruikers in de VS en het VK. De overige 9% heeft India, Duitsland en Zwitserland als doelwit. Binnenkort kan het andere Engelstalige landen bereiken, en zelfs andere taalgebieden.
"Het is onmogelijk om een aanval van de Amerikaanse Svpeng af te weren als een mobiel apparaat niet is voorzien van een beveiligingsoplossing - de malware zal het apparaat volledig blokkeren, in plaats van afzonderlijke bestanden, zoals in het geval van Cryptolocker. Als het je overkomt, kun je er vrijwel niets tegen doen. De enige hoop om het toestel weer te ontgrendelen is wanneer het al geroot was voordat de besmetting plaatsvond. Dan kan het worden ontgrendeld zonder de data te wissen. Een andere optie om de Trojan te verwijderen, als de telefoon niet was geroot, is door deze op te starten in de 'Veilige Modus' (Safe Mode) en alle gegevens op de telefoon te wissen, waarbij de SIM- en SD-kaarten ongerept en niet-geïnfecteerd zullen blijven", legt
Roman Unuchek, Senior Malware Analyst bij Kaspersky Lab uit.
Kaspersky Labs producten detecteren Svpeng als Trojan-Banker.AndroidOS.Svpeng.a.
Kaspersky Lab beveiligingsoplossingen voor thuisgebruikers en zakelijke gebruikers bevatten een scala van technologieën om verschillende soorten malware-aanvallen te voorkomen, waaronder aanvallen die speciaal zijn ontworpen om vertrouwelijke en financiële gegevens te stelen, of om belangrijke bestanden te coderen om losgeld te kunnen eisen.
Kijk voor meer informatie op
Securelist.com.