- Por ahora, el troyano sólo ataca a los clientes de bancos rusos. Pero los cibercriminales pueden estar haciendo una primera prueba de sus ataques para después difundirlos por todo el mundo
- A lo largo de los tres meses de existencia del troyano, Kaspersky Lab ha descubierto unas 50 modificaciones de este programa malicioso y Kaspersky Internet Security para Android ha bloqueado y eliminado la instalación de este troyano más de 900 veces
El troyano para Android Trojan-SMS.AndroidOS.Svpeng sigue activo y los cibercriminales han aumentado su capacidad de ataque. Ahora, Svpeng también puede lanzar ataques phishing para conseguir información financiera de los usuarios. Según los expertos de Kaspersky Lab, cuando un usuario ejecuta la aplicación bancaria de alguno de los principales bancos de Rusia, el troyano sustituye la ventana abierta por una ventana fraudulenta diseñada para robar el nombre de usuario y contraseña de su víctima, enviando la información recogida a los cibercriminales.
El programa malicioso también utiliza un método similar para tratar de robar información de las tarjetas bancarias del usuario. El troyano revisa si Google Play se está ejecutando y si el programa está abierto, el troyano muestra una ventana sobre la ventana de Google Play, pidiéndole que introduzca los datos de su tarjeta bancaria.
Este mismo troyano también puede robar dinero de las cuentas bancarias de sus víctimas. Justo después de ejecutarse, envía mensajes SMS a los números de dos de los principales bancos rusos. Esto le permite revisar si las tarjetas de estos bancos están asociadas con el número del teléfono infectado, averiguar el balance de la cuenta y enviar los datos al servidor de C&C malicioso. Si el teléfono está relacionado con una tarjeta bancaria, el servidor de C&C puede enviar órdenes para transferir dinero de la cuenta del usuario a su cuenta móvil o a la cuenta bancaria del cibercriminal.
Por ahora, el troyano sólo ataca a los clientes de bancos rusos, pero es posible que los cibercriminales estén haciendo una primera prueba de sus ataques para después difundirlos por todo el mundo. Después de reiniciarse el teléfono, el malware revisa el idioma del sistema operativo. Parece que el troyano tiene un interés particular por los siguientes países: Estados Unidos (Us), Alemania (De), Ucrania (Ua) y Bielorrusia (By).
Después de hacerlo, Trojan-SMS.AndroidOS.Svpeng muestra una ventana que dice “Cargando, por favor espere...” en el idioma pertinente. Si recibe una orden del C&C, el troyano abre un sitio web (que suele ser fraudulento) con una dirección que le dio el servidor de comandos del cibercriminal. A lo largo de los tres meses de existencia del troyano, en Kaspersky Lab han descubierto unas 50 modificaciones de este programa malicioso que se ha propagado por spam de SMS y Kaspersky Internet Security para Android ha bloqueado y eliminado la instalación de este troyano más de 900 veces.
Links de utilidad:
Sala de Prensa de Kaspersky Lab España
http://www.viruslist.com/sp/weblog?weblogid=208188879
