Svpeng, una modifica del Trojan per il mobile banking, nascosto all’interno della rete pubblicitaria AdSense di Google, è stato recentemente scoperto dagli esperti di Kaspersky Lab. Dalla metà di luglio, Svpeng è stato rilevato su circa 318.000 dispositivi Android, con una media di infezione che ha raggiunto 37.000 utenti al giorno. I cyber criminali stavano sfruttando un bug in Google Chrome per Android al fine di rubare informazioni relative alle carte di credito e dati personali come i contatti e il registro delle chiamate.
Il primo caso conosciuto di attacco Svpeng, sfruttando un bug di Chrome per Android, è avvenuto a metà luglio su una testata online russa di notizie. Durante l’attacco, il Trojan si scarica di nascosto nei dispositivi Android dei visitatori del sito Web.
Nello svelare il processo di attacco, i ricercatori Kaspersky Lab hanno scoperto che la campagna è iniziata con un annuncio pubblicitario infetto pubblicato su Google AdSense. La pubblicità era visualizzata ‘normalmente’ su pagine Web non infette e il Trojan si scaricava solo quando l’utente accedeva alla pagina attraverso il browser Chrome da un dispositivo Android. Svpeng si mascherava da importante aggiornamento del browser o da applicazione conosciuta, per convincere l’utente ad avviare l’installazione. Una volta lanciato il malware, questo scompariva dalla lista delle app installate e chiedeva all’utente i diritti di amministrazione del device, rendendo ancora più difficile rilevarlo.
Sembrava che i cyber criminali avessero trovato un modo per superare alcune funzionalità chiave della sicurezza di Google Chrome per Android. Solitamente, quando un file APK è stato scaricato su un dispositivo mobile attraverso un link web esterno, il browser visualizza un avviso che indica che un elemento potenzialmente pericoloso è stato scaricato. In questo modo, i truffatori trovano una falla di sicurezza che consente ai file APK di essere scaricati senza nessuna notifica all’utente. Kaspersky Lab ha immediatamente avvisato Google della scoperta del bug e la patch sarà rilasciata nel prossimo aggiornamento Google Chrome per Android.
“Il caso Svpeng conferma, ancora una volta, l’importanza della collaborazione tra aziende. Noi condividiamo l’obiettivo comune di proteggere gli utenti dai cyber attacchi ed è fondamentale essere uniti per raggiungerlo. Siamo soddisfatti di poter contribuire a rendere più sicuro l’ecosistema Android e vorremmo ringraziare Google per aver risposto prontamente. Inoltre, vogliamo incoraggiare gli utenti ad evitare di scaricare le applicazioni da fonti non sicure e a essere cauti riguardo a quali permessi vengono richiesti e perché”, ha dichiarato Nikita Buchka, Malware analyst di Kaspersky Lab.
Kaspersky Lab consiglia agli utenti di eseguire l’aggiornamento dell’ultima versione del browser Chrome per Android, di installare un’efficace soluzione di sicurezza e di informarsi sugli strumenti e sulle tecniche usati dai creatori di malware per ingannare gli utenti a installare software dannosi e ad autorizzare l’accesso al dispositivo.
Il Trojan di mobile banking Svpeng è progettato per rubare le informazioni delle carte di credito. Inoltre, raccoglie anche il registro delle chiamate, i messaggi di testo e multimediali, i segnalibri del browser e i contatti. Svpeng attacca principalmente Paesi di lingua russa, anche se potrebbe essere diffuso a livello mondiale. A causa della particolare natura di distribuzione del malware, milioni di pagine Web sono a rischio a livello globale, molte di queste utilizzano AdSense per visualizzare messaggi pubblicitari.