Кампания по распространению банковской троянской программы для Android Svpeng была обнаружена специалистами «Лаборатории Касперского». Киберпреступники пользуются рекламным сервисом Google AdSense.
Первые заражения программой Svpeng были обнаружены в августе. Эксперты выяснили, что во время просмотра определенных новостных сайтов, где для показа рекламы применялся AdSense, на Android-устройства пользователей автоматически загружалась банковская троянская программа. Эти факты привлекли внимание специалистов, так как обычно в ходе загрузки приложений браузер сообщает пользователю о потенциально опасных программах и предоставляет право выбора в вопросе сохранения файла.
Как сообщают эксперты «Лаборатории Касперского», в течение двух месяцев от активности программы пострадали 318000 пользователей из России и стран СНГ. Во время демонстрации вредоносной рекламы на SD-карту устройства осуществляется загрузка APK-файла, содержащего новый вариант Svpeng – Svpeng.q.
Осуществив перехват трафика с атакуемого устройства, исследователи выяснили, что в качестве ответа на HTTP-запрос с командного сервера киберпреступников осуществляется загрузка скрипта JavaScript, используемого для показа вредоносной рекламы. В этом скрипте присутствует обфусцированный код, который включает в себя APK-файл под видом зашифрованного массива данных. Этот код проводит проверку языка, используемого устройством. Киберпреступники атакуют лишь устройства с русскоязычным интерфейсом.
Данная методика работает лишь в Android-версии Google Chrome. По словам исследователей, при скачивании APK-файла с использованием ссылки на внешний сайт, браузер предупреждает о том, что идет загрузка потенциально опасного объекта, и просит пользователя решить, нужно ли сохранять этот файл. В Android-версии Google Chrome в ходе разбиения APK-файла на фрагменты не проводится проверка типа сохраняемого объекта. В результате браузер осуществляет сохранение файла без ведома пользователя.
Эксперты «Лаборатории Касперского» сообщили о проблеме специалистам Google, которые в свою очередь подготовили патч для данной уязвимости.
