El troyano móvil Svpeng incorpora keylogger a sus ataques

Nueva variante del troyano bancario móvil Svpeng, que incorpora funcionalidades de keylogger

La delincuencia cibernética se vuelve cada vez más innovadora. Así que ha comenzado a ampliar sus técnicas tradicionales con otras más clandestinas, con vectores de ataque ilimitados y bastante más difíciles de detectar. En noviembre del año pasado por ejemplo, el troyano móvil bancario de Svpeng infectó más de 318.000 dispositivos Android en todo el mundo en un período de sólo dos meses con la ayuda de anuncios de Google AdSense, que fueron utilizados intensivamente ​​para difundir el troyano de operaciones bancarias maliciosas.

Pero los ataques no cesan. Así es como en en esta lucha de acción y reacción, los investigadores de seguridad han descubierto que esta peligrosísima familia de troyanos bancarios de Android ha sido modificada para agregar un keylogger, proporcionando a los atacantes otra forma de robar datos sensibles a las víctimas.

En efecto, los expertos de Kaspersky Lab acaban de identificar una nueva variante del troyano bancario móvil Svpeng, que incorpora funcionalidades de keylogger, una técnica asociada con actores de amenazas dirigidas. Este troyano modificado roba el texto introducido, como las credenciales bancarias, aprovechándose de los servicios de accesibilidad de Android. Este nuevo enfoque permite también que el troyano se haga con otros permisos y derechos así como que pueda defenderse de los intentos para desinstalarlo. Los investigadores avisan de que mantener al día el software del dispositivo no es suficiente para estar protegido frente a este troyano.

Roman Unuchek, analista senior de malware, Kaspersky Lab
Roman Unuchek, analista senior de malware, Kaspersky Lab

“El keylogging y el abuso de los servicios de accesibilidad son una novedad en la evolución del malware bancario móvil, y no nos sorprende que Svpeng esté marcando el camino. La familia Svpeng de malware es conocida por su innovación, lo que la convierte en una de las familias más peligrosas. Fue la primera de dirigir sus ataques contra el SMS bancario, utilizar páginas phishing para simular aplicaciones e interceptar credenciales, y entonces bloquear dispositivos y pedir rescate. Por esto es tan importante monitorizar y analizar cada nueva versión”, dice Roman Unuchek, analista senior de malware, Kaspersky Lab.

Los servicios de accesibilidad suelen tomar la forma de mejoras del interfaz (UI) para dar soporte a usuarios con alguna diversidad funcional o también, para que aquellos que temporalmente no pueden interactuar con un dispositivo, como cuando conducen. En julio de 2017, los investigadores de Kaspersky Lab descubrieron que Svpeng había evolucionado hasta poder explotar las características de este sistema, y que era capaz de robar el texto introducido en el dispositivo desde otras aplicaciones, y dotarse de derechos adicionales.

El troyano se distribuye a través de páginas web maliciosas como una aplicación de reproducción flash falsa. Una vez activada, solicita permiso para utilizar los servicios de accesibilidad. Aprovechándose de esta característica, puede acceder a las UI de otras aplicaciones y capturar pantallas cada vez que se introduce una clave en el teclado, como por ejemplo las credenciales bancarias. Algunas aplicaciones, principalmente las bancarias, no permiten hacer captura de pantalla. En estos casos, el troyano dibuja su ventana phishing sobre la aplicación. Los investigadores encontraron una lista de URL de phishing en la que aparecían las aplicaciones de bancos minoristas europeos líderes.

Es más, puede llegar a instalarse como la aplicación SMS predeterminada, mandar y recibir SMS, hacer llamadas, leer contactos y bloquear cualquier intento de eliminar los derechos  de administración del dispositivo, evitando así su desinstalación. Las técnicas del troyano funcionan incluso en dispositivos completamente actualizados, que cuentan con la última versión de Android OS y todas las actualizaciones de seguridad al día.

El troyano bancario móvil Svpeng roba el texto introducido, como las credenciales bancarias, aprovechándose de los servicios de accesibilidad de Android

El troyano no se ha propagado mucho todavía, y el número de ataques de momento es bajo. La mayoría de los ataques detectados hasta la fecha lo han sido en Rusia (29%), Alemania (27%), Turquía (15%), Polonia (6%) y Francia (3%). Todo esto incluye ataques phishing.

Kaspersky Lab aconseja a los usuarios que instalen en su dispositivo una solución de seguridad fiable, como Kaspersky Internet Security para Android, comprobar siempre que las aplicaciones provienen de un desarrollador reconocido, y no descargar nada que pueda parecer sospechoso o cuyo origen no pueda ser verificado. Finalmente. Ser cuidadosos a la hora de conceder derechos adicionales.

Una trayectoria a tener en cuenta

Los investigadores de Kaspersky Lab descubrieron inicialmente el troyano de software malicioso de Svpeng Android Banking en 2013, con capacidad primaria-Phishing.

En 2014, el malware fue modificado para agregar un componente de ransomware que bloqueaba el dispositivo de la víctima (por el FBI porque visitaban sitios que contenían pornografía) y demandó con 500 dólares a cada usuario.

El malware fue uno de los primeros en comenzar a atacar SMS de la banca, usar páginas web de phishing para superponer otras aplicaciones en un esfuerzo por robar credenciales bancarias y bloquear dispositivos y demandar dinero.

En 2016, los ciberdelincuentes estaban distribuyendo activamente  Svpeng a través de Google AdSense usando una vulnerabilidad en el navegador web de Chrome y ahora abusando de los servicios de accesibilidad.

 

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.