Арсенал вредоносных возможностей банковского Android-троянца, известного как Svpeng, пополнился фишингом. По сообщениям экспертов, на данный момент Svpeng атакует клиентов российских банков, что может объясняться пробным запуском перед адаптацией к распространению в других странах.

«Как правило, злоумышленники, отработав технологию в Рунете, начинают использовать ее и в атаках на пользователей других стран», — сообщает эксперт «Лаборатории Касперского» Роман Унучек в своем блоге на сайте Securelist.com.

По словам Унучека, троянец распространяется в виде SMS-спама. Программа снабжена специальным кодом, который позволяет троянцу адаптироваться к языковой версии операционной системы на мобильном устройстве жертвы, после чего общаться с пользователем на нужном языке. В настоящее время вредоносное ПО «готово» к атаке на американских, немецких, белорусских и украинских пользователей.

Фишинг — это серьезная инновация для Svpeng, известного также как Trojan-SMS.AndroidOS.Svpeng. В России владельцы мобильных устройств с операционной системой Android при фишинг-атаке увидят окно с сообщением о запуске банковского приложения. В сообщении содержится обращение к пользователю с просьбой ввести логин и пароль, которые далее отправляются на сервер, принадлежащий злоумышленникам.

Унучек также сообщил, что троян пытается украсть информацию о банковской карте, используя фишинг-окно, располагающееся поверх окна Google Play, в процессе его работы на мобильном устройстве жертвы. При этом от пользователя требуется ввести информацию по его кредитной или банковской карте, включая срок окончания действия и число CVC, которые также отправляются на сервер грабителей.

Еще вредоносная программа умеет отдавать команды на перевод денег со счета жертвы на счет атакующего злоумышленника. Унучек объяснил, что этот процесс реализуется путем отправки SMS-сообщений на номера пары российских банков.

«Таким образом он проверяет, привязаны ли к номеру зараженного телефона карты этих банков, и получает баланс, который отправляется на C&C-сервер злоумышленников, — пишет Унучек. — Если телефон привязан к банковской карте, с командного центра могут приходить команды на перевод денег с банковского счета пользователя на его мобильный счет или на мобильный счет злоумышленников. Эти деньги злоумышленники могут обналичить, предварительно переведя их на свои электронные кошельки».

В скором времени Spveng может выйти за пределы России. Эксперты «Касперского» отмечают новые модели поведения вредоносных программ, связанные с их адаптацией в зависимости от места нахождения жертв.

По словам Унучека, за три месяца с момента появления вредоноса уже обнаружено 50 модификаций Spveng. Чтобы оставаться активным, троянец для защиты от антивируса по-прежнему использует инструмент deviceAdmin Android. Кроме того, чтобы не позволить пользователю отключить deviceAdmin или сбросить установки до заводских настроек, троянец эксплуатирует неизвестную ранее уязвимость в операционной системе Android, уточнил Унучек.

Категории: Вредоносные программы, Мошенничество