„Kaspersky Lab“ ekspertai atskleidė naują „Trojos“ mobiliojo banko viruso „Svpeng“ variantą, kuriame yra klaviatūros blokavimo funkcija, dažniausiai susijusi su tikslinių grėsmių veikėjais. Modifikuotas virusas vagia įrašytą tekstą, pavyzdžiui, prisijungimo prie bankininkystės sistemos duomenis, pasinaudodamas „Android“ prieinamumo paslaugomis. Šis metodas taip pat padeda virusui gauti kitus leidimus ir teises bei neleisti jo pašalinti. Ekspertai įspėja, kad tiesiog atnaujinę prietaiso programinę įrangą nuo šio viruso neapsisaugosite.
Prieinamumo paslaugos dažniausiai yra vartotojo sąsajos patobulinimai, skirti neįgaliems arba tiems naudotojams, kurie laikinai negali dirbti su įrenginiu, pavyzdžiui, vairuoja. 2017 metų liepą „Kaspersky Lab“ tyrėjai nustatė, kad „Svpeng“ pasinaudojo šios sistemos funkcija, siekdamas pavogti įrenginyje įvestą tekstą iš kitų programų ir suteikti tam tikrų papildomų teisių.
Virusas platinamas kenkėjiškomis svetainėmis kaip netikra „flash player“ programa. Jį suaktyvinus, virusas prašo leidimo naudotis prieinamumo paslaugomis. Naudodamasis šia viena galimybe, jis gali pasiekti šias funkcijas: naudotis kitų programų sąsajomis ir fotografuoti ekranus kiekvieną kartą paspaudus klavišą, registruoti duomenis (pvz., prisijungimo prie bankininkystės), suteikti sau įrenginio administratoriaus teises ir galimybę jį panaudoti kitoms programoms. Kadangi kai kurios programos, dažniausiai bankinės, neleidžia rodyti ekrano kopijų, kai jos yra atidarytos, virusui reikalinga galimybė uždengti pagrindinį langą. Tokiais atvejais „Svpeng“ vietoj netikro lango naudoja programą. Tyrėjai atskleidė sąrašą kenkėjiškų URL adresų, nukreiptų prieš pirmaujančių Europos mažmeninių bankų bankines programas.
Be to, virusas gali įdiegti save kaip numatytąją SMS programą, siųsti ir gauti SMS žinutes, skaityti kontaktus ir blokuoti bet kokius bandymus pašalinti įrenginio administratoriaus teises, tokiu būdu užkertant kelią jo pašalinimui. „Trojos“ viruso kenkėjiškos technologijos veikia net visiškai atnaujintuose įrenginiuose, kuriuose įdiegta naujausia operacinės sistemos „Android“ versija ir visi saugos naujiniai.
„Svpeng“ dar nėra plačiai naudojamas ir bendras išpuolių skaičius yra mažas. Dauguma iki šiol aptiktų išpuolių (įskaitant sukčiavimą) įvyko Rusijoje (29 proc.), Vokietijoje (27 proc.), Turkijoje (15 proc.), Lenkijoje (6 proc.) ir Prancūzijoje (3 proc.).
„Klaviatūros blokavimo ir prieinamumo paslaugos panaudojimas – naujas būdas platinti kenkėjiškas mobiliosios bankininkystės programas, todėl nenuostabu pamatyti, kad „Svpeng“ naudojamas būtent šiam tikslui. „Svpeng“ kenkėjiškų programų šeima yra gerai žinoma dėl savo naujovių, todėl ji yra viena iš pavojingiausių. „Svpeng“ buvo vienas pirmųjų, kuris taikėsi į SMS bankininkystės sistemą, naudodamasis suklastotų puslapių programomis. Jis vagia prisijungimo duomenis, blokuoja įrenginius ir reikalauja pinigų. Štai kodėl taip svarbu stebėti ir analizuoti kiekvieną naują versiją“, – sako Romanas Unučekas (Roman Unuchek), „Kaspersky Lab“ kenkėjiškų programų analitikas.
