SVPeng muta para comenzar a afectar a entidades europeas

Cuando todavía muchos siguen pensando en WannCry, llega el momento de asumir que hay muchos más malwares rondando por Internet. Esta vez queremos alertar de una variante del troyano bancario conocido como SVPeng, que cómo no, vuelve a querer robarnos el dinero.

Hoy hemos encontrado una nueva variante del troyano SVPeng buscando un poquito en Koodous. Esta familia comenzó a distribuirse a mediados de julio de 2016 a través de una vulnerabilidad que descubrieron en Chrome para Android (y ya parchearon). Básicamente el troyano se descargaba usando la plataforma de AdSense, a través de un código JavaScript, descargaba el APK partido en trozos y cifrado. Con esta técnica eludían que el navegador avisara de que se estaba descargando un fichero.

Las primeras muestras que hemos encontrado datan de primeros de marzo de este año y por el momento sólo hemos localizado 12 ejemplares, pero el último de ellos afecta a entidades europeas. Por ello hemos considerado que merece una atención especial.

En este caso hemos comenzado el estudio de la muestra con un breve análisis estático, lo que nos sirve para encontrar la lista de entidades afectadas incluidas dentro del propio código, sin ningún tipo de ofuscación, totalmente claras:

Sin embargo, este dato contrasta enormemente con la alta ofuscación que sufre el resto de su código, por ejemplo:

Este malware se encarga de descifrar un nuevo archivo dex, que carga y utiliza. Los archivos dex incluyen código de la aplicación preparado para la máquina virtual Dalvik. Por otra parte, al igual que otros bankers también registra varios receptores para SMS en su manifiesto. De esta forma los atacantes se garantizan el control de los SMS recibidos, muy útiles para controlar los casos en que se emplea un doble factor de autenticación a través de SMS.

Y como es habitual, solicita permisos de administración:

Finalmente, utiliza un WebView para cargar la página de phishing que se muestra remotamente:

Estos son algunos de los bancos afectados:

La muestra en cuestión se puede observar a continuación en nuestra plataforma Koodous:

https://koodous.com/apks/41eac41eb0daca737aaddb956db62f76a24618a35a3f3f083ea278b95e84f0c9

Como es habitual recordamos extremar la precaución, especialmente en los dispositivos móviles, donde con frecuencia tendemos a levantar nuestras defensas. El sentido común suele ser una buena defensa, comprobar los permisos que pide la aplicación cuando se instala y por si falla nuestra intuición disponer de algún software de seguridad. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.

Recordamos que si recibís correos que consideréis falsos, con facturas falsas, intentos de fraude o sospechéis que incluye malware podéis enviárnoslo a [email protected].

Antonio Sánchez

[email protected]

Via: unaaldia.hispasec.com