Tutto ciò che occorre sapere su Svpeng, il malware che attacca tramite i banner AdSense

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Un malware capace di estendersi per tutto il web attraverso i banner AdSense: questa è la realtà descritta da un post del laboratorio Kaspersky, specializzato in sicurezza e prevenzione e che avrebbe segnalato a Google la minaccia del malware Svpeng, già visto in precedenza nella forma di ransomware FBI e che ora avrebbe ricevuto una nuova identità oltre ad un metodo di contagio decisamente innovativo, perlomeno per ciò che riguarda l’utilizzo di un bug di Chrome che consente di aggirarne il meccanismo di sicurezza.

Siete pronti per scoprire tutto ciò che riguarda il malware Svpeng?

Che cos’è Svpeng

Conosciuto anche come Trojan-Banker.AndroidOS.Svpeng, questo malware ha conosciuto un’estrema diffusione specialmente nella regione geografica assimilabile alla Confederazione degli Stati Indipendenti russi, grazie soprattutto alla modalità di attacco non originale – in quanto già vista in altri trojan più vecchi – ma certamente efficace, perlomeno stando alle statistiche.

svpeng-android-malware-adsense-2
Svpeng, prima di diventare un malware, operava come un ransomware

In base infatti a quanto mostrato da Kaspersky attraverso i propri grafici, Svpeng sarebbe stato identificato all’interno di oltre 300.000 smartphone con picchi di più di 36.000 installazioni al giorno; fortunatamente Google, una volta che il laboratorio aveva provveduto a segnalare la presenza di una minaccia che sfruttava intelligentemente i banner AdSense per favorire la propria diffusione, aveva immediatamente bloccato la risorsa arrestandone dunque il processo di contagio (che difatti sembra quasi essersi azzerato dall’estate scorsa ad oggi). Non si tratta della prima volta che un servizio ufficiale viene utilizzato da hacker professionisti: già qualche settimana fa un ricercatore indiano aveva trovato un’exploit XSS nel sito di WhatsApp che avrebbe potuto indurre gli utenti in visita al sito a scaricare file APK infetti, che fortunatamente è stato poi risolto dal team di Facebook.

Come Svpeng attacca gli smartphone Android

Così come abbiamo specificato nell’introduzione, Svpeng non applica strategie di attacco particolarmente innovative ma ha saputo acquisire grande popolarità per via dell’intelligente strategia applicata allo sfruttamento di un bug di Chrome che impediva al sistema di notificare l’avvio del download di un file APK e di eventualmente interrompere o non avviarne proprio l’installazione.

svpeng-android-malware-adsense-4
Le righe di codice nascoste

Analizzando il banner AdSense sfruttato da Svepng, il laboratorio Kaspersky ha saputo notare come parte del codice presente nella pubblicità visualizzata fosse nascosto, crittografato per occultare i collegamenti necessari al malware per il download di un file APK infetto da un server remoto. Svpeng fa uso di un sistema definito “emulazione del click” che porta il virus a simulare il tap da parte dell’utente sul banner – una feature non originale poichè già vista in malware più vecchi, oltre ad essere funzionante esclusivamente sugli schermi touchscreen.

svpeng-android-malware-adsense-3

Il codice contiene numerosi punti i controllo che Svpeng attua per verificare che i device colpiti corrispondano agli obiettivi prescelti: smartphone Android che utilizzano Chrome e che sono situati nell’area russofona, dunque comprendente l’attuale Federazione Russa e pochi altri Paesi del CSI. Le ragioni sono chiare: Svpeng sfrutta un bug di Chrome che impedisce al browser di visualizzare l’annuncio che solitamente avverte l’utente dell’avvenuto download di un file potenzialmente pericoloso per la salute del dispositivo, non funzionante altrove.

Svpeng infatti provvede a scaricare il file APK in piccoli pezzi attraverso una Blob() class, punto debole del servizio di security checking di Chrome; il file viene salvato nella cartella dei download con un nome particolarmente familiare o comune per l’utente (Asphalt_7_Heat.apk, Skype.apk, Instagram.apk), il quale è poi indotto a tapparvi sopra per autorizzare l’installazione scambiandolo per un aggiornamento di un’app già installata.

Come difendersi da Svpeng

Non occorre preoccuparsi più di tanto di Svpeng: oltre ad essere generalmente circoscritto all’area russofona – anche se alcuni esemplari sono stati ritrovati anche in Giappone – il bug a cui Svpeng faceva riferimento verrà riparato nella prossima release di Chrome per Android. Ciononostante, occorre allo stesso tempo mantenersi all’erta su qualsiasi file che compaia nascostamente all’interno della cartella dei download.

Mettiti al sicuro: scopri QUI tutti i segreti per mettersi al riparo dai pericoli di Internet!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//