Google AdSense z mobilnym trojanem

Analizując proces ataku, badacze z Kaspersky Lab ustalili, że kampania rozpoczęła się od umieszczenia zainfekowanej reklamy w sieci Google AdSense.

Kaspersky ujawnił modyfikację mobilnego trojana bankowego Svpeng, ukrywającego się w sieci reklamowej Google’a — AdSense. W lipcu 2016 Svpeng – mobilny trojan został wykryty na urządzeniach z systemem Android przy około 318 000 użytkowników, przy czym największy współczynnik infekcji wynosił 37 000 ofiar dziennie.

Celem mobilnego trojana bankowego Svpeng jest kradzież informacji dotyczących kart bankowych. Szkodnik gromadzi również historię połączeń, wiadomości tekstowe i multimedialne, zakładki przeglądarki oraz kontakty. Svpeng atakuje głównie kraje rosyjskojęzyczne, posiada jednak potencjał globalnego rozprzestrzeniania się. Ze względu na specyficzny charakter dystrybucji szkodnika zagrożone są miliony stron internetowych na całym świecie wykorzystujących platformę AdSense w celu wyświetlania reklam na urządzeniach mobilnych.

Cyberprzestępcy, których celem była kradzież informacji dotyczących kart bankowych oraz danych osobistych, takich jak kontakty oraz historia połączeń, wykorzystywali błąd w przeglądarce Google Chrome dla systemu Android. Google usunął już tę lukę więc uzasadnione jest ujawnienie przez Kaspersky Lab szczegółów.

  • Pierwszy znany przypadek ataku trojana Svpeng miał miejsce w połowie lipca 2016 i dotyczył rosyjskiej internetowej agencji informacyjnej. Podczas ataku trojan w sposób nieujawniony instalował się na urządzeniach z systemem Android.

svpenggeoimg-1-2

Analizując proces ataku, Kaspersky Lab ustalił,że kampania rozpoczęła się od umieszczenia zainfekowanej reklamy w sieci Google AdSense. Trojan był pobierany tylko wtedy, gdy użytkownik odwiedzał witrynę ze spreparowaną reklamą za pośrednictwem przeglądarki Chrome na urządzeniu z systemem Android. Svpeng podszywał się pod niezbyt istotną aktualizację dla przeglądarki lub popularną aplikację, aby nakłonić użytkownika do wyrażenia zgody na instalację. Po uruchomieniu szkodliwe oprogramowanie znikało z listy zainstalowanych aplikacji i prosiło użytkownika o przyznanie mu praw administratora urządzenia. Takie działanie miało na celu utrudnienie wykrycia szkodliwego oprogramowania.

  • Cyberprzestępcy znaleźli sposób na obejście niektórych kluczowych funkcji bezpieczeństwa przeglądarki Google Chrome dla Androida. W normalnych warunkach, gdy plik APK (aplikacja dla systemu Android) jest pobierany na urządzenie mobilne za pośrednictwem zewnętrznego odsyłacza WWW, przeglądarka wyświetla ostrzeżenie o wykryciu potencjalnie niebezpiecznego obiektu. Twórcy trojana Svpeng wykryli i wykorzystali lukę w zabezpieczeniach, która umożliwiała pobieranie plików APK bez powiadamiania użytkowników. Po zidentyfikowaniu błędu eksperci z Kaspersky Lab natychmiast zgłosili problem firmie Google, która bardzo szybko przygotowała odpowiednie uaktualnienie przeglądarki usuwające lukę.

Kaspersky Lab zaleca użytkownikom urządzeń z Androidem, by jak najszybciej uaktualnili przeglądarkę Google Chrome do najnowszej wersji.

Produkty Kaspersky Lab wykrywają omawianą wersję trojana Svpeng jako Trojan-Banker.AndroidOS.Svpeng.q.

Print