Nuevo SVPeng muta para comenzar a afectar a entidades europeas

---

Cuando todavía muchos siguen pensando en WannCry, llega el momento de

asumir que hay muchos más malwares rondando por Internet. Esta vez

queremos alertar de una variante del troyano bancario conocido como

SVPeng, que cómo no, vuelve a querer robarnos el dinero.



Hoy hemos encontrado una nueva variante del troyano SVPeng buscando un

poquito en Koodous. Esta familia comenzó a distribuirse a mediados de

julio de 2016 a través de una vulnerabilidad que descubrieron en Chrome

para Android (y ya parchearon). Básicamente el troyano se descargaba

usando la plataforma de AdSense, a través de un código JavaScript,

descargaba el APK partido en trozos y cifrado. Con esta técnica eludían

que el navegador avisara de que se estaba descargando un fichero.



Las primeras muestras que hemos encontrado datan de primeros de marzo de

este año y por el momento sólo hemos localizado 12 ejemplares, pero el

último de ellos afecta a entidades europeas. Por ello hemos considerado

que merece una atención especial.



En este caso hemos comenzado el estudio de la muestra con un breve

análisis estático, lo que nos sirve para encontrar la lista de entidades

afectadas incluidas dentro del propio código, sin ningún tipo de

ofuscación, totalmente claras:



https://3.bp.blogspot.com/-Z3ipkqGtelI/WRyHxXk8QuI/AAAAAAAAI08/GGckgL1Ahr8YOZUk4ED8iepcveFBMPj_ACLcB/s640/bankation_1.png



Sin embargo, este dato contrasta enormemente con la alta ofuscación que

sufre el resto de su código, por ejemplo:



https://2.bp.blogspot.com/-IxaSeudQwJ0/WRyH2jmnWDI/AAAAAAAAI1A/GkcCwpjGsIsleUsNVl08kxTN9ucnFARlACLcB/s640/bankation_2.png



Este malware se encarga de descifrar un nuevo archivo dex, que carga y

utiliza. Los archivos dex incluyen código de la aplicación preparado

para la máquina virtual Dalvik. Por otra parte, al igual que otros

bankers también registra varios receptores para SMS en su manifiesto. De

esta forma los atacantes se garantizan el control de los SMS recibidos,

muy útiles para controlar los casos en que se emplea un doble factor de

autenticación a través de SMS.



https://2.bp.blogspot.com/-wUj1sd521Mg/WRyH7Xjk7bI/AAAAAAAAI1E/-zk8UcdLxQw74i9k1XKBcDBZQx4EW046wCLcB/s640/bankation_3.png



Y como es habitual, solicita permisos de administración:



https://2.bp.blogspot.com/-4JFmeCKYjno/WRyIAJ38J_I/AAAAAAAAI1I/ysyrMS7EpZ8sMy6wob0Zt8kITaMiEF8dwCLcB/s640/bankation_4.png



https://3.bp.blogspot.com/-XakXEoWOlRc/WRyID9qRwpI/AAAAAAAAI1M/m5aT9iNNV4kfVcS96mLD-lGxsfoVJt2IwCLcB/s640/bankation_5.png



Finalmente, utiliza un WebView para cargar la página de phishing que se

muestra remotamente:



https://2.bp.blogspot.com/-l7t6y7DXVWk/WRyIPu4PUpI/AAAAAAAAI1Q/o5RlutFgVNYl-YFlqqbAzI7ZyglzVsvAACLcB/s1600/bankation_6.png



Estos son algunos de los bancos afectados:



https://3.bp.blogspot.com/-yqOZdYSmlnI/WRyIWDlbLnI/AAAAAAAAI1U/tzTPoQZyDg4i8RykB7MyTKOjADJ6dxVbgCLcB/s320/bankation_7.png



https://3.bp.blogspot.com/-ZA3UVA5exDE/WRyIaUBubiI/AAAAAAAAI1Y/jUINTgih7b415sVa0SYAUYitwlwVGc4BQCLcB/s320/bankation_8.png



La muestra en cuestión se puede observar a continuación en nuestra

plataforma Koodous:

https://koodous.com/apks/41eac41eb0daca737aaddb956db62f76a24618a35a3f3f083ea278b95e84f0c9



Como es habitual recordamos extremar la precaución, especialmente en los

dispositivos móviles, donde con frecuencia tendemos a levantar nuestras

defensas. El sentido común suele ser una buena defensa, comprobar los

permisos que pide la aplicación cuando se instala y por si falla nuestra

intuición disponer de algún software de seguridad. Nuestra propuesta

pasa por la instalación de Koodous, un antivirus ideado por y para la

comunidad.



Recordamos que si recibís correos que consideréis falsos, con facturas

falsas, intentos de fraude o sospechéis que incluye malware podéis

enviárnoslo a report@hispasec.com.



Ver información original al respecto en Fuente:

http://unaaldia.hispasec.com/2017/05/svpeng-muta-para-comenzar-afectar.html#comment-form