Utrecht, 8 november 2016 – Deskundigen van
Kaspersky Lab ontdekten onlangs een aangepaste versie van de mobiel bankieren-trojan Svpeng, dat zich in Google's advertentienetwerk AdSense had verborgen. Svpeng is sinds medio juli bij circa 318.000 Android-gebruikers aangetroffen, waarbij de trojan tot 37.000 slachtoffers per dag had geïnfecteerd. De aanvallers achter Spveng waren uit op het stelen van bankpas- en persoonlijke gegevens zoals contacten en de gesprekshistorie. Ze maakten hiervoor misbruik van een bug in Google Chrome voor Android. Nu Google de bug heeft gerepareerd, kunnen Kaspersky Lab-experts alle details van de aanval naar buiten brengen.
Het eerste bekende geval van een Svpeng-aanval vond medio juli plaats op een online Russische nieuwssite. Tijdens de aanval downloadde de Trojan zichzelf heimelijk op de Android-apparaten van bezoekers van de website.
Bij het ontrafelen van het aanvalsproces ontdekten onderzoekers van Kaspersky Lab dat de campagne begon met een geïnfecteerde, op Google AdSense geplaatste advertentie. De advertentie werd "normaal" weergegeven op niet-geïnfecteerde webpagina's, terwijl de trojan zichzelf alleen downloadde wanneer de gebruiker de pagina opende via de Chrome-browser op een Android-apparaat. Svpeng vermomde zich als een belangrijke browser-update of een populaire app, om de gebruiker ervan te overtuigen de installatie goed te keuren. Zodra de malware werd gestart, verdween de bron uit de lijst van geïnstalleerde apps en vroeg het de gebruiker om beheerdersrechten voor het apparaat. Dit maakte het lastiger om de malware te detecteren.
Het bleek dat de aanvallers een manier hadden gevonden om enkele belangrijke beveiligingsfuncties van Google Chrome voor Android te omzeilen. Normaal gesproken toont de browser als een APK-bestand op een mobiel apparaat wordt gedownload via een externe weblink een waarschuwing dat een potentieel gevaarlijk object wordt gedownload. In dit geval vonden de fraudeurs een veiligheidslek waardoor APK-bestanden konden worden gedownload zonder gebruikers hiervan op de hoogte te stellen. Na ontdekking van de bug meldde Kaspersky Lab het probleem onmiddellijk aan Google. De patch zal worden uitgebracht via de eerstvolgende Google Chrome voor Android-update.
"De Svpeng case bevestigt andermaal het belang van samenwerking tussen bedrijven. We delen een gemeenschappelijk doel, het beschermen van gebruikers tegen cyberaanvallen, en het is essentieel dat we samenwerken om dit doel te bereiken. Gebruikers kunnen daarbij ook helpen door geen toepassingen te downloaden van niet-vertrouwde bronnen en door na te denken over welke machtigingen zij worden gevraagd te geven en waarom", zegt Nikita Buchka, Malware Analyst bij Kaspersky Lab.
Kaspersky Lab adviseert klanten Chrome for Android naar de meest recente versie van te upgraden, een effectieve beveiligingsoplossing te installeren en zich bewust te zijn van de tools en technieken die door malwaremakers worden gebruikt om hen te verleiden om schadelijke software te installeren en akkoord te gaan met ingrijpende apparaatrechten.
De mobiel bankieren-trojan Svpeng is ontworpen om bankpasgegevens te stelen. Het verzamelt tevens de gesprekshistorie, sms- en multimediaberichten, browser bookmarks en contactpersonen. Svpeng valt voornamelijk Russisch-sprekende landen aan, maar heeft de potentie om zich wereldwijd te verspreiden. Vanwege de specifieke aard van de malwareverspreiding lopen wereldwijd miljoenen webpagina's risico, waarbij geldt dat veel van hen AdSense gebruiken om advertenties weer te geven.
Kaspersky Lab detecteert de malware als Trojan-Banker.AndroidOS.Svpeng.q
Lees meer informatie over Svpeng op
Securelist.com