El troyano móvil Svpeng muda a keylogger y roba los servicios para discapacitados de Android

De esta forma, consigue que pueda defenderse de los intentos para desinstalarlo. Los investigadores avisan de que mantener al día el software del dispositivo no es suficiente para estar protegido frente a este troyano.

Los servicios de accesibilidad suelen tomar la forma de mejoras del interfaz (UI) para dar soporte a usuarios con alguna diversidad funcional o también, para que aquellos que temporalmente no pueden interactuar con un dispositivo, como por ejemplo, durante la conducción. En julio de 2017, los investigadores de Kaspersky Lab descubrieron que Svpeng había evolucionado hasta poder explotar las características de este sistema, y que era capaz de robar el texto introducido en el dispositivo desde otras aplicaciones, y dotarse además de derechos adicionales.

El troyano se distribuye a través de páginas web maliciosas como una aplicación de reproducción flash falsa. Una vez activada, solicita permiso para utilizar los servicios de accesibilidad. Aprovechándose de esto, puede acceder a las UI de otras aplicaciones y capturar pantallas cada vez que se introduce una clave en el teclado, como por ejemplo las credenciales bancarias. Algunas aplicaciones, principalmente las bancarias, no permiten hacer captura de pantalla pero no es para nada un problema porque, en estos casos, el troyano dibuja su ventana phishing sobre la aplicación. Los investigadores encontraron una lista de URL de phishing en la que aparecían las aplicaciones de bancos minoristas europeos líderes.

Y eso no es todo. Puede llegar a instalarse como la aplicación SMS predeterminada, mandar y recibir SMS, hacer llamadas, leer contactos y bloquear cualquier intento de eliminar los derechos de administración del dispositivo, evitando así su desinstalación. Las técnicas del troyano funcionan incluso en dispositivos completamente actualizados, que cuentan con la última versión de Android OS y todas las actualizaciones de seguridad al día.

El número de ataques en la actualidad de momento es bajo. La mayoría de los ataques detectados hasta la fecha lo han sido en Rusia (29%), Alemania (27%), Turquía (15%), Polonia (6%) y Francia (3%). Todo esto incluye ataques phishing.

Roman Unuchek, analista senior de malware de Kaspersky Lab. explica que “El keylogging y el abuso de los servicios de accesibilidad son una novedad en la evolución del malware bancario móvil, y no nos sorprende que Svpeng esté marcando el camino. La familia Svpeng de malware es conocida por su innovación, lo que la convierte en una de las familias más peligrosas. Fue la primera de dirigir sus ataques contra el SMS bancario, utilizar páginas phishing para simular aplicaciones e interceptar credenciales, y entonces bloquear dispositivos y pedir rescate. Por esto es tan importante monitorizar y analizar cada nueva versión”.

Kaspersky Lab aconseja a los usuarios que instalen en su dispositivo una solución de seguridad fiable, como Kaspersky Internet Security para Android, además de comprobar siempre que las aplicaciones provienen de un desarrollador reconocido, y no descargar nada que pueda parecer sospechoso o cuyo origen no pueda ser verificado. Y por último, se muy cuidadosos a la hora de conceder derechos adicionales.