(Roma, 31 Luglio 2017) – Gli esperti di Kaspersky Lab hanno scoperto una nuova variante del trojan per il mobile banking Svpeng che presenta funzionalita’ per il keylogging, una tecnica principalmente utilizzata negli attacchi mirati. Il trojan modificato spia il testo digitato, come le credenziali per l’online banking, sfruttando le impostazioni di accessibilita’ di Android. Questo approccio permette inoltre al trojan di ottenere altri permessi e diritti e di bloccare qualsiasi tentativo di disinstallazione. I ricercatori avvertono che il semplice aggiornamento dei software non protegge da questa minaccia.
Solitamente, le impostazioni di accessibilita’ sono miglioramenti dell’interfaccia utente (UI) pensati per supportare gli utenti con disabilita’ o chi non e’ momentaneamente in grado di interagire normalmente con il dispositivo – ad esempio durante la guida. A luglio 2017, i ricercatori di Kaspersky Lab hanno scoperto che Svpeng si e’ evoluto per sfruttare queste funzionalita’ di sistema per rubare il testo inserito in altre app installate sul dispositivo e ottenere numerosi diritti aggiuntivi.
Il trojan viene distribuito attraverso siti nocivi sotto forma di falsa app flash player. Dopo l’attivazione, chiede il permesso di usare le impostazioni di accessibilita’, grazie alle quali riesce ad accedere all’interfaccia utente delle altre app e fare uno screenshot ogni volta che viene premuto un tasto sul tastierino, rubando informazioni come le credenziali per l’online banking. Inoltre, queste funzionalita’ consentono al trojan di ottenere i diritti di amministratore del dispositivo e la possibilita’ di sovrapporsi ad altre app, necessaria in quanto alcune applicazioni – come le app bancarie – non consentono di fare screenshot quando sono in cima alle applicazioni aperte. Questo problema viene risolto dal trojan sovrapponendo la propria pagina di phishing. I ricercatori hanno svelato un elenco di URL di phishing che prendono di mira le app bancarie delle principali banche europee.
Inoltre, Svpeng riesce a installarsi come app SMS di default, inviare e ricevere SMS, effettuare chiamate, leggere le informazioni sui contatti e bloccare ogni tentativo di rimozione dei diritti di amministratore del dispositivo – impedendo, quindi, la propria disinstallazione. Le tecniche nocive del trojan funzionano anche sui dispositivi piu’ aggiornati, sui quali sono stati installati gli ultimi aggiornamenti di sicurezza e l’ultima versione del sistema operativo Android.
Il trojan non e’ ancora ampiamente utilizzato e il numero complessivo di attacchi e’ ancora basso. La maggior parte degli attacchi e’ stata rilevata in Russia (29%), Germania (27%), Turchia (15%), Polonia (6%) e Francia (3%).
“Le attivita’ di keylogging e lo sfruttamento delle impostazioni di accessibilita’ sono un nuovo sviluppo del malware per il mobile banking e non siamo sorpresi di scoprire che Svpeng stia guidando il progresso. La famiglia di malware Svpeng e’ nota per l’innovazione, rappresentando una delle famiglie piu’ pericolose in circolazione. E’ stata, ad esempio, tra le prime a condurre attacchi contro i servizi di SMS banking, a sovrapporre le pagine di phishing alle app per rubare le credenziali e a bloccare i dispositivi chiedendo un riscatto. Ecco perche’ e’ cosi’ importante monitorare e analizzare ogni nuova versione di questo trojan”, ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.
Kaspersky Lab consiglia agli utenti di installare una soluzione di sicurezza affidabile, come Kaspersky Internet Security for Android, sul proprio dispositivo per controllare sempre che le app siano state create da uno sviluppatore affidabile ed evitare di scaricare qualcosa che possa sembrare sospetto o la cui fonte non possa essere verificata. Infine, ma non meno importante, suggerisce di fare attenzione quando si concedono privilegi aggiuntivi alle app.
Per avere maggiori informazioni sulle ultime modifiche di Svpeng, e’ possibile leggere il blog post su Securelist.com.
Tutte le soluzioni Kaspersky Lab rilevano questo trojan come Trojan-Banker.AndroidOS.Svpeng.ae.
Informazioni su Kaspersky Lab
Kaspersky Lab e’ un’azienda di sicurezza informatica a livello globale che nel 2017 celebra i suoi primi 20 anni di attivita’. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Piu’ di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere cio’ che e’ per loro piu’ importante. Per ulteriori informazioni: www.kaspersky.com/it
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/+KasperskyItKL
https://www.linkedin.com/kasperskylabitalia
(Immediapress – Adnkronos
Immediapress e’ un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall’ente che lo emette. Padovanews non e’ responsabile per i contenuti dei comunicati trasmessi.)