Especialistas da Kaspersky Lab descobriram uma nova variação do cavalo de Troia Svpeng, que visa sistemas bancários em dispositivos móveis e que contam com a funcionalidade de registro de pressionamentos do teclado (keylogging), uma técnica geralmente associada a agentes de ameaças direcionadas.
O trojan modificado captura o texto digitado no teclado, como credenciais bancárias, explorando indevidamente os serviços de acessibilidade do Android. Sua abordagem também permite a obtenção de outras permissões e direitos, e a neutralização das tentativas de desinstalá-lo. Os pesquisadores advertem que não basta manter o software do dispositivo atualizado para se proteger contra essa ameaça.
Em geral, os serviços de acessibilidade são aprimoramentos da interface do usuário para ajudar aqueles com limitações ou que estejam temporariamente impossibilitados de interagir com o dispositivo, por exemplo, porque estão dirigindo. Em julho de 2017, os pesquisadores da Kaspersky Lab descobriram que o Svpeng foi aperfeiçoado para explorar esse recurso do sistema a fim de acessar o texto digitado em outros aplicativos no dispositivo e obter outros direitos.
O cavalo de Troia é distribuído por meio de sites maliciosos como um aplicativo falso do Flash Player. Ao ser ativado, ele solicita permissões para usar os serviços de acessibilidade. Explorando esse único recurso, ele é capaz de acessar as interfaces do usuário de outros aplicativos, fazer capturas de tela sempre que uma tecla é pressionada no teclado e registrar dados, como credenciais bancárias.
O trojan consegue obter direitos de administrador e a capacidade de sobrepor outros aplicativos. Isso é necessário porque alguns aplicativos, principalmente os bancários, não permitem a captura de tela quando estão no primeiro plano. Nesses casos, o cavalo de Troia sobrepõe sua janela de phishing ao aplicativo. Os pesquisadores descobriram uma lista de URLs de phishing correspondentes aos aplicativos dos principais bancos de varejo europeus.
Além disso, ele pode se definir como aplicativo padrão para envio de SMS, enviar e receber SMSs, fazer ligações e acessar os contatos, além de bloquear todas as tentativas de remover seus direitos de administrador do aplicativo, impedindo assim sua desinstalação. As técnicas maliciosas do trojan funcionam mesmo em dispositivos totalmente atualizados, que têm a versão mais recente do sistema operacional Android e todas as atualizações de segurança instaladas.
O trojan ainda não foi amplamente implementado, e o número total de ataques é pequeno. A maioria dos ataques detectados até o momento ocorreu na Rússia (29%), Alemanha (27%), Turquia (15%), Polônia (6%) e França (3%), e inclui ataques de phishing:
"O registro de pressionamento de teclas e a exploração indevida do serviço de acessibilidade são novidades no desenvolvimento de malwares voltados para bancos em dispositivos móveis, e o fato do Svpeng ser pioneiro não nos surpreende. A família de malware Svpeng é conhecida pela inovação, que a torna uma das mais perigosas. Foi uma das primeiras a direcionar seus ataques a bancos usando SMSs, a usar páginas de phishing para sobrepor aplicativos a fim de interceptar credenciais e a bloquear dispositivos e exigir dinheiro. Por isso, é muito importante monitorar e analisar cada uma das novas versões", explicou Roman Unuchek, analista sênior de malware da Kaspersky Lab.