卡巴斯基实验室专家最近发现了一种隐藏在Google广告网络AdSense的名为Svpeng的手机银行木马
卡巴斯基实验室专家最近发现了一种隐藏在Google广告网络AdSense的名为Svpeng的手机银行木马。从7月中旬,我们就在约318,000mignon用户的安卓设备上检测到Svpeng木马,其感染峰值达到每天37,000名用户。攻击者利用安卓平台下的Google Chrome的一个漏洞进行攻击,目的是窃取银行卡信息和个人数据,例如联系人和通讯记录。目前,Google已经修复了这一漏洞,卡巴斯基实验室专家可以揭示这次攻击的详情了。
首个已知的Svpeng利用安卓Chrome漏洞攻击的案例发生于7月中旬的一家俄罗斯新闻网站上。攻击过程中,木马会偷偷将自身下载到访问网站的用户设备上。
分析攻击过程中,卡巴斯基实验室研究人员发现攻击行动开始于位于Google AdSense上的一个被感染广告。在被感染的网页上,这条广告显示“正常”,因为木马只会被下载到使用Chrome浏览器访问网页的安卓设备上。Svpeng木马会将自身伪装成重要的浏览器更新或常用应用,欺骗用户允许其安装。一旦恶意软件启动,会从已安装应用列表中消失,并且会要求用户赋予其管理员权限。这使得该恶意软件很难被检测到。
攻击者似乎发现了一种绕过安卓平台下Google Chrome浏览器的重要安全机制。通常来说,当通过外部网页链接下载APK文件到移动设备时,浏览器会显示一条警告信息,告诉用户正在下载潜在危险的对象。但是在Svpeng攻击中,攻击者发现了一种安全漏洞,能够不显示警告信息而允许APK文件下载。发现这一漏洞后,卡巴斯基实验室立刻将其上报给Google。针对这一问题的补丁程序将在最近的Google Chrome更新中发布。
“Svpeng这一案例再次证明了公司之间进行合作的重要性。我们具有共同的目标,即保护用户不受网络攻击的危害,所以不同公司之间合作实现这一目标非常重要。我们非常高兴能够让安卓生态系统变得更为安全,同时感谢Google对我们的上报所做出的快速回应。我们还呼吁用户避免从不受信任的来源下载应用,同时在允许应用权限请求时一定要谨慎,”卡巴斯基实验室恶意软件分析师Nikita Buchka说。
卡巴斯基实验室建议用户升级自己的安卓版Chrome浏览器到最新版,同时安装有效的安全解决方案。另外,用户还需要警惕恶意软件编写者所采用的攻击工具和技巧,避免上当而安装上恶意软件,同时要谨慎允许应用对设备的权限请求。
卡巴斯基实验室将这种恶意软件变种检测为Trojan-Banker.AndroidOS.Svpeng.q
有关Svpeng的更多详情,请参考Securelist.com.
