Svpeng, il trojan per Android diventa keylogger

Tra le software house e i cybercriminali esiste da sempre il classico scontro “guardie e ladri”. Gli sviluppatori di malware aggiornano spesso il codice per evitare la loro rilevazione e incrementare le possibilità di successo di un attacco informatico. Ad esempio, il noto banking trojan per Android Svpeng è stato modificato con l’aggiunta della funzionalità keylogger, quindi registra tutto ciò che l’utente digita sullo smartphone.

La nuova versione è stata individuata dagli esperti dei Kaspersky Labs in 23 paesi con una maggiore diffusione in Russia, Germania e Turchia. Svpeng viene principalmente distribuito tramite una falsa versione di Flash Player e, una volta installato sul dispositivo, ottiene i permessi di amministratore, sfruttando i servizi di accessibilità. Il malware scatta screenshot ogni volta che l’utente preme un pulsante sulla tastiera virtuale (anche di terze parti) e li invia ad un server remoto. Se le app non permettono di scattare screenshot, Svpeng visualizza un’interfaccia simile all’originale.

Con queste tecniche il keylogger registra nomi utente e password delle app bancarie, dati della carta di credito e altre informazioni sensibili. Svpeng può inoltre inviare al server remoto l’elenco dei contatti, il log delle chiamate e gli SMS. Il trojan impedisce la rimozione dei diritti di amministratore, rendendo complicata la sua disinstallazione. Fortunatamente la diffusione è al momento limitata, ma il numero di attacchi potrebbe aumentare nelle prossime settimane.

Dato che il malware funziona su tutti i dispositivi Android, inclusi quelli con l’ultima versione del sistema operativo e le patch di sicurezza recenti, i ricercatori dei Kaspersky Labs consigliano di scaricare solo app pubblicate sul Google Play Store.