Ausnutzung einer Browser-Schwachstelle
Die Spitzenwerte der Aktivitäten lagen bei 37.000 Infektionen pro Tag. Dabei nutzten die Angreifer eine Schwachstelle innerhalb von Google Chrome for Android aus. Die Malware sammelt sowohl Informationen über die Bankkarten ihrer Opfer als auch deren persönliche Daten wie Kontakte oder die Liste besuchter Webseiten.
Der erste bekannte Fall trat Mitte Juli 2016 bei einem russischen Online-Nachrichtenkanal auf. Anwender, die diese Webseite besuchten, liefen Gefahr, den Trojaner unbemerkt auf ihre Android-Geräte zu laden.
Der mobile Trojaner Svpeng
Der mobile Trojaner Svpeng zielt darauf ab, die Daten von Bankkarten abzugreifen. Er sammelt aber auch Informationen über die vom Anwender getätigten Telefonate, Text- und Multimedia-Nachrichten, sowie Browser-Lesezeichen und Kontakte. Svpeng ist vorwiegend in russisch-sprachigen Ländern verbreitet, hat aber das Potenzial für eine globale Präsenz. Durch die Art seiner Verbreitung stellt er eine Gefahr für Millionen von Webseiten in aller Welt dar, da viele davon Google AdSense nutzen, um Werbeanzeigen zu veröffentlichen.
Die Sicherheitslösungen von Kaspersky Lab erkennen die beschriebene Modifikation von Svpeng als Trojan-Banker.AndroidOS.Svpeng.q.
Wie erfolgt der Angriff?
Bei der Analyse des genauen Angriffsablaufs fanden die Experten von Kaspersky Lab heraus, dass die Ursache jeweils in einer infizierten Werbeanzeige zu finden war, die über Google AdSense auf der Website platziert wurde. Diese Anzeigen hatten das vom Anwender gewohnte Erscheinungsbild. Der Trojaner wurde nur dann heruntergeladen, wenn die Anwender mit einem Android-Gerät und dem Browser Chrome auf die Seite zugriffen.
Um die Nutzer zur Installation der Malware zu bewegen, gab Svpeng vor, es handle sich um ein wichtiges Update des Browsers oder einer anderen populären Anwendung. Wurde die Malware tatsächlich installiert, verschwand sie von der Liste der installierten Apps und forderte die Anwender auf, Administratorrechte für das Gerät zu erteilen. Dadurch war die Schadsoftware nur schwer zu entdecken.
Keine Warnung vor gefährlicher Datei
Bei dieser Vorgehensweise konnten die Angreifer anscheinend einige der in Google Chrome for Android eingebauten Sicherheitsmaßnahmen umgehen. Normalerweise wird der Anwender vor dem Download von APK-Dateien gewarnt, dass es sich möglicherweise um gefährliche Dateien handeln könnte. In diesem Fall gelang es den Betrügern aber, diese Warnung auszuschalten.
Die Experten von Kaspersky Lab haben nach der Entdeckung Google sofort darüber informiert. Ein entsprechender Patch wird mit dem nächsten Update von Google Chrome for Android ausgeliefert.
Kaspersky Lab empfiehlt:
Kaspersky Lab empfiehlt allen Anwendern die neueste Version von Chrome for Android herunterzuloaden sowie die Installation einer effektiven Sicherheitslösung wie etwa Kaspersky Internet Security for Android . Zudem sollten alle Nutzer die Tools und Methoden kennen, mit denen Angreifer versuchen, Anwender zur Installation von Schadsoftware zu bewegen und umfassende Rechte zu erteilen.
