Аналитики «Лаборатории Касперского» исследовали методы банковского троянца Svpeng, который загружался в Android-устройства жертв после просмотра ими вредоносной рекламы.

Распространению зловреда способствовало использование злоумышленниками рекламной сети Google AdSense. Она демонстрировала объявления, которые скачивали и автоматически сохраняли на SD-карту устройства опасный банкер. Специалисты отметили, что такое поведение нетипично, так как устройство должно запрашивать разрешение на загрузку подозрительного файла, поэтому аналитики препарировали методы Svpeng и выявили алгоритмы, которые он использует для распространения и загрузки.

По данным «Лаборатории», зловред нацелен на пользователей из России и СНГ и уже заразил 318 тыс. мобильных устройств. На пике его популярности количество заражений достигало 37 тыс. пользователей в день. Регулярные «скачки» активности объясняются тем, что Google оперативно блокирует вредоносные рекламные объявления, но до этого зловред все равно успевает проникнуть на тысячи девайсов. На протяжении последних месяцев вредоносная реклама появляется в AdSense регулярно.

Чтобы убедить пользователя установить Svpeng, вирусописатели используют методы социальной инженерии: названия вредоносных apk-файлов либо копируют имена популярных легитимных программ, либо пытаются убедить пользователя в важности и необходимости установки скачанного приложения. В современных версиях Android установка приложений из неизвестных источников запрещена по умолчанию, но киберпреступники рассчитывают, что пользователи отключат эту опцию для установки «важного обновления браузера» или новой версии популярного приложения.

Препарировав техники, используемые троянцем, аналитики обнаружили, что на HTTP-запрос на просмотр вредоносного рекламного объявления сервер отвечает скриптом JavaScript, используемым для показа рекламного сообщения. Однако этот скрипт содержит в начале обфусцированный вредоносный код. При его запуске происходит расшифровка полезной нагрузки зловреда, то есть APK-файл скачивается под видом зашифрованного массива байт в скрипте.

Затем зловред определяет функцию, с помощью которой будет происходить сохранение, проверяя доступность функций из состава движков различных браузеров, и в случае их недоступности определяет свою. Затем создается ссылка, задается атрибут href, и программа «генерирует» клик на эту ссылку, притом программный клик способен выполняться только на устройствах с тачскрином, то есть на смартфонах.

Расшифрованный вредоносный APK-файл затем разбивается на блоки по 1024 байта, а срабатывание обработчика способствует автоматическому сохранению APK-файла на SD-карту.

Перед загрузкой Svpeng также проверяет язык интерфейса зараженного устройства и атакует только смартфоны, использующие интерфейс на русском языке.

Примечательно, что этот метод работает только в Google Chrome для Android. Когда скачивание .apk выполняется с использованием ссылки на внешний ресурс, браузер выдает предупреждение о том, что скачивается потенциально опасный объект, и предлагает пользователю выбор — сохранить или нет скачиваемый файл. Но если файл .apk разбивается на части, при передаче этих частей в функцию сохранения проверка типа сохраняемого объекта не производится, и браузер сохраняет .apk, не предупреждая об этом пользователя.

Google уже выпустила патч, устраняющий описанную выше проблему в Google Chrome. Обновление, содержащее патч, будет доступно пользователям в ближайшее время. В других браузерах трюк не работает, либо браузер предлагает возможность отказаться от сохранения файла.

Эксперты не исключают, что география Svpeng может расшириться. Уже были случаи, когда вредоносная реклама в AdSense атаковала пользователей в США, что вкупе с популярностью платформы Android и ее фрагментированностью дает основания для беспокойства.

Категории: Аналитика, Вредоносные программы, Главное