Desde mediados de julio, Svpeng se ha detectado en los dispositivos Android de alrededor de 318.000 usuarios, con una tasa de infección que alcanza a 37.000 víctimas en un día. Los atacantes que intentan robar información de tarjetas bancarias y datos personales, como contactos e historial de llamadas, aprovechaban un error en Google Chrome para Android. Ahora que Google ha corregido el error, los expertos de Kaspersky Lab pueden revelar todos los detalles del ataque.
El primer caso conocido de un ataque Svpeng que utilizó el error en Chrome para Android se produjo a mediados de julio en una cadena rusa de noticias en línea. Durante el ataque, el Troyano se descargaba sigilosamente en los dispositivos Android de los visitantes del sitio web.
Al desenmarañar el proceso de ataque, los investigadores de Kaspersky Lab descubrieron que la campaña comenzó con un anuncio infectado que se había colocado en Google AdSense. El anuncio se mostraba de manera “habitual” en páginas web no infectadas, donde el Troyano se descargaba solo cuando el usuario accedía a la página mediante el navegador Chrome en un dispositivo Android. Svpeng se disfrazaba como una actualización importante del navegador o una aplicación popular, para convencer al usuario que aprobara la instalación. Una vez que se iniciaba el malware, éste desaparecía de la lista de aplicaciones instaladas y solicitaba al usuario que le otorgara derechos de administrador del dispositivo. Esto hizo que el malware fuera más difícil de detectar.
Al parecer, los atacantes encontraron la manera de evitar algunas de las características clave de seguridad de Google Chrome para Android. Normalmente, cuando un archivo APK se descarga en un dispositivo móvil a través de un enlace web externo, el navegador muestra una advertencia de que se está descargando un objeto potencialmente peligroso. En este caso, los estafadores encontraron una falla de seguridad que permitía a los archivos APK descargarse sin notificar a los usuarios. Al descubrir el error, Kaspersky Lab informó de inmediato el problema a Google. El parche se publicará en la siguiente actualización de Google Chrome para Android.
«El caso Svpeng confirma, una vez más, la importancia de la cooperación entre compañías. Compartimos el objetivo común de proteger a los usuarios contra ataques cibernéticos, y es vital que trabajemos juntos para lograr este objetivo. Estamos encantados de ayudar a hacer más seguro el ecosistema Android, y nos gustaría dar las gracias a Google por su pronta respuesta a nuestro informe. También instamos a los usuarios a que eviten descargar aplicaciones de fuentes no confiables y que sean cautelosos en cuanto a los permisos que se les solicita», dijo Nikita Buchka, analista de malware de Kaspersky Lab.
Kaspersky Lab recomienda a los clientes que actualicen el navegador Chrome para Android a la versión más reciente, que instalen una solución de seguridad eficaz y que estén al tanto de las herramientas y técnicas utilizadas por los autores de malware que intentan engañar a los usuarios para instalar software malicioso y aceptar derechos de dispositivo de amplio alcance.
El Troyano de banca móvil Svpeng está diseñado para robar información de su tarjeta bancaria. También recopila el historial de llamadas, mensajes de texto y multimedia, favoritos del navegador, así como contactos. Svpeng ataca principalmente a los países de habla rusa, sin embargo, tiene el potencial de propagarse a nivel mundial. Debido a la naturaleza específica de la distribución de malware, millones de páginas web en todo el mundo están en riesgo, ya que muchas de ellas utilizan AdSense para mostrar anuncios.
Kaspersky Lab detecta la modificación del malware como Trojan-Banker.AndroidOS.Svpeng.q