Il trojan mobile Svpeng diventa un keylogger e spia attraverso le impostazioni per utenti disabili

Gli esperti di Kaspersky Lab hanno scoperto una nuova variante del trojan per il mobile banking Svpeng che presenta funzionalità per il keylogging, una tecnica principalmente utilizzata negli attacchi mirati.

Il trojan modificato spia il testo digitato, come le credenziali per l’online banking, sfruttando le impostazioni di accessibilità di Android. Questo approccio permette inoltre al trojan di ottenere altri permessi e diritti e di bloccare qualsiasi tentativo di disinstallazione. I ricercatori avvertono che il semplice aggiornamento dei software non protegge da questa minaccia.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Solitamente, le impostazioni di accessibilità sono miglioramenti dell’interfaccia utente (UI) pensati per supportare gli utenti con disabilità o chi non è momentaneamente in grado di interagire normalmente con il dispositivo – ad esempio durante la guida. A luglio 2017, i ricercatori di Kaspersky Lab hanno scoperto che Svpeng si è evoluto per sfruttare queste funzionalità di sistema per rubare il testo inserito in altre app installate sul dispositivo e ottenere numerosi diritti aggiuntivi.

Il trojan viene distribuito attraverso siti nocivi sotto forma di falsa app flash player. Dopo l’attivazione, chiede il permesso di usare le impostazioni di accessibilità, grazie alle quali riesce ad accedere all’interfaccia utente delle altre app e fare uno screenshot ogni volta che viene premuto un tasto sul tastierino, rubando informazioni come le credenziali per l’online banking. Inoltre, queste funzionalità consentono al trojan di ottenere i diritti di amministratore del dispositivo e la possibilità di sovrapporsi ad altre app, necessaria in quanto alcune applicazioni – come le app bancarie – non consentono di fare screenshot quando sono in cima alle applicazioni aperte. Questo problema viene risolto dal trojan sovrapponendo la propria pagina di phishing. I ricercatori hanno svelato un elenco di URL di phishing che prendono di mira le app bancarie delle principali banche europee.

Leggi anche:  Westcon e Check Point proteggono cloud e reti ibride per una digitalizzazione sicura

Inoltre, Svpeng riesce a installarsi come app SMS di default, inviare e ricevere SMS, effettuare chiamate, leggere le informazioni sui contatti e bloccare ogni tentativo di rimozione dei diritti di amministratore del dispositivo – impedendo, quindi, la propria disinstallazione. Le tecniche nocive del trojan funzionano anche sui dispositivi più aggiornati, sui quali sono stati installati gli ultimi aggiornamenti di sicurezza e l’ultima versione del sistema operativo Android.

Il trojan non è ancora ampiamente utilizzato e il numero complessivo di attacchi è ancora basso. La maggior parte degli attacchi è stata rilevata in Russia (29%), Germania (27%), Turchia (15%), Polonia (6%) e Francia (3%).

“Le attività di keylogging e lo sfruttamento delle impostazioni di accessibilità sono un nuovo sviluppo del malware per il mobile banking e non siamo sorpresi di scoprire che Svpeng stia guidando il progresso. La famiglia di malware Svpeng è nota per l’innovazione, rappresentando una delle famiglie più pericolose in circolazione. È stata, ad esempio, tra le prime a condurre attacchi contro i servizi di SMS banking, a sovrapporre le pagine di phishing alle app per rubare le credenziali e a bloccare i dispositivi chiedendo un riscatto. Ecco perché è così importante monitorare e analizzare ogni nuova versione di questo trojan”, ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.

Kaspersky Lab consiglia agli utenti di installare una soluzione di sicurezza affidabile, come Kaspersky Internet Security for Android, sul proprio dispositivo per controllare sempre che le app siano state create da uno sviluppatore affidabile ed evitare di scaricare qualcosa che possa sembrare sospetto o la cui fonte non possa essere verificata. Infine, ma non meno importante, suggerisce di fare attenzione quando si concedono privilegi aggiuntivi alle app.

Leggi anche:  Il report X-Force rivela le principali minacce per il cloud