Incluye la funcionalidad de keylogging.
Una nueva variante del troyano Sypeng, dirigido a las transacciones bancarias móviles y que es capaz de registrar las pulsaciones del teclado y robar las credenciales de los usuarios o el texto que se escribe, fue advertido por expertos de Kaspersky Lab.
Hasta el momento los ataques se han concentrado en Rusia, Alemania, Turquía, Polonia y Francia donde es distribuido a través de sitios web maliciosos con una aplicación falsa para reproducción de flash.
La nueva variante incluye la funcionalidad de keylogging -registro de las pulsaciones del teclado- que es una técnica que se relaciona con agentes de amenazas dirigidas a un objetivo determinado.
Además, aprovechando el abuso de los servicios de accesibilidad de Android, este troyano modificado roba el texto que se escribe con lo que pueden vulnerar otros permisos y derechos, así como contrarrestar los intentos de desinstalarlo, por lo que los investigadores advierten que mantener actualizado el software de los dispositivos no es suficiente para protegerse.
En julio pasado, los investigadores de Kaspersky Lab descubrieron que Svpeng había evolucionado para robar el texto y otorgarse una serie de derechos adicionales, aprovechando los servicios de accesibilidad que se entregan en forma de mejoras en la interfaz para auxiliar a las personas con alguna discapacidad o aquellos que temporalmente no pueden interactuar completamente con un dispositivo, por ejemplo, cuando se conduce un vehículo.
Valerse del keylogging y del abuso de los servicios de accesibilidad es un nuevo acontecimiento en el malware dirigido a las transacciones bancarias móviles y no nos sorprende encontrar que Svpeng esté a la cabeza pues esta familia de malware Svpeng es conocida por su innovación, lo que la hace una de las más peligrosas”, señaló Roman Unuchek, analista senior de malware en Kaspersky Lab.
Recordó que Svpeng fue uno de los primeros en dirigir sus ataques a las transacciones bancarias en SMS, en usar páginas de phishing para superponerse en aplicaciones con el fin de interceptar credenciales y en bloquear dispositivos para demandar dinero, lo que obliga a instalar una solución de seguridad confiable.
Las técnicas maliciosas del troyano funcionan incluso en dispositivos que están actualizados o que cuentan con la versión más reciente del sistema operativo Android y tienen instaladas todas las actualizaciones de seguridad.
La peligrosidad de esta nueva versión, explicó, es que se puede otorgar derechos de administrador del dispositivo y tiene la capacidad de superponerse a otras aplicaciones, principalmente las que se utilizan en las transacciones bancarias.
En estos casos, el troyano superpone su ventana de phishing sobre la aplicación (los investigadores descubrieron una lista de URLs dedicados al phishing y dirigidos a las aplicaciones bancarias de los principales bancos minoristas europeos).
Además, el mismo programa puede instalarse como la aplicación predeterminada de SMS, enviar y recibir SMS, realizar llamadas y leer contactos, así como bloquear cualquier intento de eliminar los derechos de administrador del dispositivo, lo que evitará su desinstalación.
Y ante ello los expertos de Kaspersky Lab recomiendan además de instalar soluciones de seguridad confiables, comprobar que las aplicaciones hayan sido creadas por un desarrollador acreditado, no bajar nada sospechoso o cuya fuente no pueda verificarse y tener cuidado al otorgar a las aplicaciones privilegios adicionales.
C$T-GM