Nuevo SVPeng muta para comenzar a afectar a entidades europeas
Cuando todavía muchos siguen pensando en WannCry, llega el momento de
asumir que hay muchos más malwares rondando por Internet. Esta vez
queremos alertar de una variante del troyano bancario conocido como
SVPeng, que cómo no, vuelve a querer robarnos el dinero.
Hoy hemos encontrado una nueva variante del troyano SVPeng buscando un
poquito en Koodous. Esta familia comenzó a distribuirse a mediados de
julio de 2016 a través de una vulnerabilidad que descubrieron en Chrome
para Android (y ya parchearon). Básicamente el troyano se descargaba
usando la plataforma de AdSense, a través de un código JavaScript,
descargaba el APK partido en trozos y cifrado. Con esta técnica eludían
que el navegador avisara de que se estaba descargando un fichero.
Las primeras muestras que hemos encontrado datan de primeros de marzo de
este año y por el momento sólo hemos localizado 12 ejemplares, pero el
último de ellos afecta a entidades europeas. Por ello hemos considerado
que merece una atención especial.
En este caso hemos comenzado el estudio de la muestra con un breve
análisis estático, lo que nos sirve para encontrar la lista de entidades
afectadas incluidas dentro del propio código, sin ningún tipo de
ofuscación, totalmente claras:
Sin embargo, este dato contrasta enormemente con la alta ofuscación que
sufre el resto de su código, por ejemplo:
https://2.bp.blogspot.com/-IxaSeudQwJ0/WRyH2jmnWDI/AAAAAAAAI1A/GkcCwpjGsIsleUsNVl08kxTN9ucnFARlACLcB/s640/bankation_2.png
Este malware se encarga de descifrar un nuevo archivo dex, que carga y
utiliza. Los archivos dex incluyen código de la aplicación preparado
para la máquina virtual Dalvik. Por otra parte, al igual que otros
bankers también registra varios receptores para SMS en su manifiesto. De
esta forma los atacantes se garantizan el control de los SMS recibidos,
muy útiles para controlar los casos en que se emplea un doble factor de
autenticación a través de SMS.
Y como es habitual, solicita permisos de administración:
Finalmente, utiliza un WebView para cargar la página de phishing que se
muestra remotamente:
Estos son algunos de los bancos afectados:
La muestra en cuestión se puede observar a continuación en nuestra
plataforma Koodous:
https://koodous.com/apks/41eac41eb0daca737aaddb956db62f76a24618a35a3f3f083ea278b95e84f0c9
Como es habitual recordamos extremar la precaución, especialmente en los
dispositivos móviles, donde con frecuencia tendemos a levantar nuestras
defensas. El sentido común suele ser una buena defensa, comprobar los
permisos que pide la aplicación cuando se instala y por si falla nuestra
intuición disponer de algún software de seguridad. Nuestra propuesta
pasa por la instalación de Koodous, un antivirus ideado por y para la
comunidad.
Recordamos que si recibís correos que consideréis falsos, con facturas
falsas, intentos de fraude o sospechéis que incluye malware podéis
enviárnoslo a report@hispasec.com.
Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2017/05/svpeng-muta-para-comenzar-afectar.html#comment-form
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.