Una nueva era de troyanos en la banca móvil

01/08/2017

Svpeng se vuelve un keylogger y roba todo a través de servicios de accesibilidad.

A mediados de julio de 2017, se encontró una nueva modificación del conocido malware para móviles de la familia Spveng, Trojan-Banker.AndroidOS.Spveng.ae. En esta modificación, los criminales han agregado nuevas funcionalidades: ahora también trabaja como un keylogger, robando texto ingresado a través del uso de servicios de accesibilidad.

Los servicios de accesibilidad generalmente proveen complementos a la interfaz de usuario (UI) para los usuarios con discapacidad o aquellos que no puedan interactuar temporalmente con el dispositivo, por ejemplo, mientras se conduce. Al abusar de esta característica del sistema, se le permite al troyano no solo hurtar el texto ingresado en otras aplicaciones instaladas en el dispositivo, si no también, permitirse a sí mismo mayores permisos y derechos, y contrarrestar los intentos de desinstalar el troyano.

Los datos de los ataques sugieren que este troyano no ha sido ampliamente implementado. En una semana, se ha observado un pequeño número de usuarios atacados, pero estos objetivos se extienden a 23 países. Los usuarios más atacados fueron en Rusia (29%), Alemania (27%), Turquía (15%), Polonia (6%) y Francia (3%). Vale la pena señalar que a pesar de que la mayoría de los usuarios afectados fueron de Rusia, este troyano no trabaja en dispositivos que se ejecutan en ruso. Esta es una táctica de los cibercriminales rusos para evadir la detección y el arresto.

La familia de software malicioso Spveng es conocida por ser innovadora. Desde el 2013, fue de las primeras en realizar ataques bancarios a través de SMS para usar páginas de phishing que hacían a otras aplicaciones robar credenciales, y para bloquear dispositivos y exigir dinero. En 2016, los cibercriminales distribuían activamente Spveng a través de AdSense usando una vulnerabilidad en el navegador Chrome. Esto hace a Spveng una de las familias de malware más peligrosas y es el porqué del monitoreo a nuevas versiones.

El proceso de ataque

Después de iniciar, Trojan-Banker.AndroidOS.Svpeng.ae comprueba el idioma del dispositivo y, si no es ruso, solicita permiso al dispositivo para utilizar los servicios de accesibilidad. Al abusar de este privilegio, puede hacer muchas cosas dañinas. Se concede derechos de administrador del dispositivo, se basa en otras aplicaciones, se instala como una aplicación predeterminada de SMS y se concede algunos permisos dinámicos que incluyen la capacidad de enviar y recibir SMS, realizar llamadas y leer contactos. Además, con sus habilidades recién adquiridas, el troyano puede bloquear cualquier intento de eliminar los derechos de administrador del dispositivo, lo que impide su desinstalación. Es interesante que al hacerlo también bloquea cualquier intento de agregar o eliminar los derechos de administrador del dispositivo para cualquier otra aplicación.

Spveng fue capaz de convertirse en administrador del dispositivo sin interaccion, solo con el uso de servicios de accesibilidad.

Spveng fue capaz de convertirse en administrador del dispositivo sin interacción, solo con el uso de servicios de accesibilidad.

Usar servicios de accesibilidad le permite al troyano acceder a la interfaz de usuario de otras aplicaciones para robar datos de estas, por ejemplo, los nombre de elementos de la interfaz y su contenido si está disponible, esto incluye texto. Además, toma capturas de pantalla cada vez que el usuario presiona un botón en el teclado y la carga en el servidor malicioso. Soporta no solo el teclado estandar de Android, sino también teclados de terceros.

Algunas aplicaciones, sobre todo las bancarias, no permiten que se tomen capturas de pantalla cuando están en primer plano. En estos casos el troyano tiene otra opción para hurtar información, dibuja su ventana de phishing sobre la aplicación atacada. Es interesante que para encontrar qué aplicación se encuentra en primer plano, también utiliza servicios de accesibilidad.

De la información que recibe Spveng de su servidor de Comando y Control, fue posible interceptar un archivo de configuración cifrado y descifrarlo para descubrir las aplicaciones atacadas, y para obtener una URL de las páginas de phishing.

Fueron también descubiertos algunas aplicaciones antivirus que el troyano intentaba bloquear, y algunas aplicaciones con URL de phishing para disfrazarlas. Como muchos casos del malware bancario, Spveng engaña a algunas aplicaciones de Google para robar detalles de las tarjetas de crédito.

También, en el archivo de configuración se encontró una URL de phishing para las aplicaciones móviles de PayPal y eBay para robar credenciales y URL para aplicaciones bancarias de diferentes países:

  • Reino Unido – 14 aplicaciones bancarias atacadas
  • Alemania – 10 aplicaciones bancarias atacadas
  • Turquía – 9 aplicaciones bancarias atacadas
  • Australia – 9 aplicaciones bancarias atacadas
  • Francia – 9 aplicaciones bancarias atacadas
  • Polonia – 9 aplicaciones bancarias atacadas
  • Singapur – 6 aplicaciones bancarias atacadas

Había una aplicación más en este archivo de configuración, la aplicación Speedway, una app de recompensas, no una aplicación financiera. Spveng la sobrescribiría con una ventana de phishing con el fin de robar credenciales.

También puede recibir comandos desde el Comando y Control para:

  • Enviar SMS
  • Recolectar información (contactos, aplicaciones instaladas e historiales de llamadas)
  • Recolectar todos los SMS de un dispositivo
  • Abrir una URL
  • Comenzar a hurtar SMS entrantes

Distribución y protección

Trojan-Banker.AndroidOS.Spveng.ae es distribuido a través de sitios maliciosos como un flash player falso. Sus técnicas maliciosas trabajan aún en dispositivos actualizados con la última versión de Android y todas las actualizaciones de seguridad instaladas. Accediendo únicamente a una característica del sistema, este troyano puede obtener todos los permisos necesarios y robar mucha información.