Эксперты объявили о появлении новой модификации известного банковского Android-трояна Svpeng. Вредонос теперь может работать как кейлоггер и для записи нажатий клавиш на клавиатуре использует функционал ОС для людей с ограниченными возможностями.
Уже сейчас жертвами обновленной версии Svpeng стали пользователи в 23 странах. Большая часть пострадавших приходится на Россию – 29%, однако троян не работает на устройствах с русскоязычным интерфейсом. Как правило, подобная практика характерна для российских киберпреступников, пытающихся избежать проблем с законом в РФ. 27% жертв находятся в Германии, 15% – в Турции, 6% – в Польше и 3% – во Франции, но о широкомасштабной вредоносной кампании пока говорить рано.
Svpeng распространяется под видом Flash Player через вредоносные сайты. После попадания на устройство троян проверяет язык интерфейса, и, если таковой не является русским, запрашивает права на получение доступа к спецвозможностям. С их помощью вредонос получает для себя привилегии администратора на устройстве и целый ряд возможностей. К примеру, теперь он способен делать снимки экрана при вводе каждого символа на виртуальной клавиатуре.
Помимо прочего, троян может отображать свои окна поверх других приложений – очень полезная функция, учитывая, что многие банковские программы не разрешают делать скриншоты во время работы с ними. Svpeng открывает фишинговоеокно, куда жертва вводит свои данные, отправляющиеся прямиком в руки киберпреступникам. Исследователи обнаружили целый список фишинговых адресов, используемых трояном для маскировки под приложения крупных европейских банков.
Среди других функций Svpeng исследователи также отмечают способность устанавливать себя в качестве SMS-приложения по умолчанию, получать и отправлять SMS-сообщения, осуществлять вызовы и просматривать список контактов. Примечательно, троян блокирует попытки лишить его прав администратора, а значит, деинсталлировать его крайне сложно.
Уже сейчас жертвами обновленной версии Svpeng стали пользователи в 23 странах. Большая часть пострадавших приходится на Россию – 29%, однако троян не работает на устройствах с русскоязычным интерфейсом. Как правило, подобная практика характерна для российских киберпреступников, пытающихся избежать проблем с законом в РФ. 27% жертв находятся в Германии, 15% – в Турции, 6% – в Польше и 3% – во Франции, но о широкомасштабной вредоносной кампании пока говорить рано.
Svpeng распространяется под видом Flash Player через вредоносные сайты. После попадания на устройство троян проверяет язык интерфейса, и, если таковой не является русским, запрашивает права на получение доступа к спецвозможностям. С их помощью вредонос получает для себя привилегии администратора на устройстве и целый ряд возможностей. К примеру, теперь он способен делать снимки экрана при вводе каждого символа на виртуальной клавиатуре.
Помимо прочего, троян может отображать свои окна поверх других приложений – очень полезная функция, учитывая, что многие банковские программы не разрешают делать скриншоты во время работы с ними. Svpeng открывает фишинговоеокно, куда жертва вводит свои данные, отправляющиеся прямиком в руки киберпреступникам. Исследователи обнаружили целый список фишинговых адресов, используемых трояном для маскировки под приложения крупных европейских банков.
Среди других функций Svpeng исследователи также отмечают способность устанавливать себя в качестве SMS-приложения по умолчанию, получать и отправлять SMS-сообщения, осуществлять вызовы и просматривать список контактов. Примечательно, троян блокирует попытки лишить его прав администратора, а значит, деинсталлировать его крайне сложно.
