Detectan una nueva versión del troyano bancario móvil Svpeng

Expertos de Kaspersky Lab han descubierto una nueva variante del troyano de banca móvil Svpeng, que incorpora funciones de keylogging, una técnica comúnmente asociada con creadores de amenazas dirigidas. El troyano es capaz así de robar texto introducido mediante el abuso de los servicios de accesibilidad de Android, un enfoque que también permite al troyano concederse a sí mismo permisos y otros derechos para contrarrestar los intentos de desinstalarlo. Los investigadores advierten que el simple mantenimiento del software del dispositivo actualizado no protege contra este troyano.

Quizá te interese... El entorno de la pyme en 2017 Cómo ser flexible y apto para la transformación digital Cómo lograr el éxito en la gestión del rendimiento empresarial y la Inteligencia de negocio Impacto económico del desarrollo de aplicaciones de negocio con ServiceNow Rendimiento digital: la importancia para el retailer Informe e-Pyme 2016

Los servicios de accesibilidad normalmente toman la forma de mejoras de interfaz de usuario para ayudar a los usuarios con discapacidad o aquellos que temporalmente no pueden interactuar plenamente con un dispositivo, por ejemplo, porque están conduciendo. En julio, los investigadores de Kaspersky Lab descubrieron que Svpeng había evolucionado para abusar de esta característica del sistema para robar texto introducido de otras aplicaciones en el dispositivo y concederse a sí mismo una serie de derechos adicionales.

El troyano se distribuye a través de sitios web maliciosos como una aplicación falsa de Flash Player. Tras la activación, pide permiso para utilizar los servicios de accesibilidad. Abusando de esta función, puede lograr acceder a las interfaces de usuario de otras aplicaciones y tomar capturas de pantalla cada vez que se pulsa una tecla en el teclado, y registrar datos tales como datos bancarios. Se puede dar a sí mismo derechos de administrador del dispositivo y la capacidad de dibujar sobre otras aplicaciones, permitiendo dibujar una ventana de phishing sobre la aplicación. Los investigadores descubrieron una lista de URL de phishing dirigidas a las aplicaciones de banca de los principales bancos europeos.

Además, puede instalarse como la aplicación de SMS por defecto, enviar y recibir SMS, realizar llamadas y leer contactos, y bloquear cualquier intento de quitar derechos de administrador de dispositivos, para prevenir su desinstalación. Las técnicas maliciosas del troyano funcionan incluso en dispositivos totalmente actualizados, que tienen la última versión del sistema operativo Android y todas las actualizaciones de seguridad instaladas.

El troyano no presenta todavía un gran despliegue, y el número total de ataques son bajos. La mayor parte de los ataques detectados hasta la fecha se encuentran en Rusia (un 29%), Alemania (un 27%), Turquía (un 15%), Polonia (un 6%) y Francia (un 3%).