Trojan z reklam Google’a

Jeśli nie odwiedzasz podejrzanych stron, nie istnieje ryzyko infekcji szkodliwym programem – prawda? Niestety, ale tak to nie działa. Stuprocentowo bezpieczni nie są nawet ci, którzy nie otwierają dziwnych załączników pocztowych, nie korzystają ze stron pornograficznych i nie instalują aplikacji z nieoficjalnych sklepów.

Według najnowszych doniesień szkodliwe programy mogą znajdować się nawet na całkowicie oryginalnych stronach, o czym przekonało się 318 000 tysięcy użytkowników platformy Android,  gdy ich urządzenia zaatakował trojan bankowy Svpeng.q bezpośrednio przez reklamy Google AdSense.

Google AdSense to największa sieć reklamowa na świecie, dlatego wielu cyberprzestępców marzy o tym, aby znaleźć sposób na wykorzystanie jej do rozprzestrzeniania swoich szkodliwych programów. Twórcom trojana Svpeng.q udało się spełnić te marzenia.

Banery umieszczane przez cyberprzestępców rozpoczynały automatyczne pobieranie pakietu instalacyjnego trojana Svpeng.q przy użyciu zaciemnionego skryptu. Zazwyczaj przeglądarka Chrome ostrzega użytkowników, gdy pobierany jest potencjalnie niebezpieczny plik. Dlatego w tym przypadku przestępcy użyli specjalnej funkcji, która sprawiała, że trojan był pobierany w częściach — w ten sposób przedostawał się do urządzeń niezauważony.

Skrypt był dostosowany tak, aby uruchamiał się na urządzeniach posiadających ekran dotykowy i tylko poprzez przeglądarkę Chrome. W ten sposób grono ofiar było zawężane do użytkowników tabletów i smartfonów z Androidem.

Więcej informacji na temat trojana Svpeng.q znajduje się w szczegółowym raporcie opublikowanym w serwisie Securelist. Mówiąc w skrócie, nie różni się od znacznie od innych trojanów: jego głównym celem jest nałożenie w aplikacjach bankowych fałszywego interfejsu na oryginalny, kopiowanie danych karty kredytowych i wysyłanie ich przestępcom. A ci z kolei używają ich do kradzieży pieniędzy ofiar.

Przekazaliśmy nasze spostrzeżenia firmie Google, której programiści utworzyli specjalną łatę do przeglądarki Google Chrome, eliminującą możliwość ominięcia zabezpieczeń.

Warto zauważyć, że podczas pobierania Svpenga infekcja nie następuje od razu. Musisz go zainstalować, a trojan ten jest doskonały w oszukiwaniu: plik instalacyjny może się nazywać na przykład Android_update_6.apk lub Instagram.apk. Niestety takie podejście działa dobrze, z korzyścią dla cyberprzestępców.

Jak się chronić przed trojanami ukrywającymi się w reklamach?

Na niebezpieczeństwo może niechcący narazić Cię nawet oryginalna strona. Aby nie paść ofiarą takich trojanów, wypróbuj nasze porady:

1. Nigdy nie otwieraj plików, jeśli nie wiesz, w jaki sposób znalazły się na urządzeniu. To, że plik nosi nazwę android_update.apk, nie oznacza, że zawiera on aktualizację systemową. Możesz sprawdzić, czy system ma najnowsze aktualizacje, przechodząc do menu Ustawienia => Informacje o urządzeniu.
2. Nie zezwalaj na instalowanie aplikacji z nieoficjalnych sklepów. Każdy gadżet systemu Android posiada taką opcję. W ten sposób nawet gdy przypadkowo zaakceptujesz instalację jakiejś pseudoaktualizacji, system ją zatrzyma.
3. Instaluj prawdziwe aktualizacje tuż po ich pojawieniu się. Ponadto zaktualizuj przeglądarkę Google Chrome na wszystkich urządzeniach z systemem Android. Nie zajmuje to wiele czasu, a może zaoszczędzić czas, kłopoty, a nawet pieniądze.
4. Na wszystkich urządzeniach zainstaluj program zabezpieczający. W takich przypadkach jak ten może się przydać ochrona w czasie rzeczywistym. Inaczej sytuacja wygląda ze skanerem uruchamianym ręcznie na żądanie. Svpeng wie, w jaki sposób „zabić” procesy popularnych programów zabezpieczających, więc skaner nie będzie miał szansy się uruchomić. Płatna wersja naszego programu Kaspersky Antivirus & Security for Android wykrywa trojana Svpeng jako Trojan.Banker.Androidos.Svpeng.Q — i z łatwością blokuje go.