返回新闻列表

卡巴斯基实验室发现Svpeng手机木马——一种正在攻击美国用户勒索的金融恶意勒索软件

        虽然Gameover Zeus僵尸程序和Cryptolocker勒索软件的传播得到了抑制,但现在就进行庆祝还为时过早。首先,为期两周的最后期限将于6月17号截止,这意味着网络罪犯再有一周就可以重新获取其僵尸网络的控制权。其次,Gameover Zeus和Cryptolocker恶意程序引发的攻击行动滋生出很多模仿者,其中还包括手机恶意软件编写者。

        上周日,即6月8日,卡巴斯基实验室在美国和英国检测到一种被称为Svpeng的手机木马。这种木马同时整合了金融恶意软件功能和勒索软件功能。Svpeng是一款源自俄罗斯的知名木马,能够窃取受感染用户的钱财,这是我们首次发现该恶意程序针对其他国家市场发动攻击。

        截止到目前,这款源自俄罗斯的恶意软件还不会窃取用户的登录信息,但这只是时间问题。因为Svpeng是一款在俄罗斯颇为知名的木马程序的变种,其主要功能就是窃取用户钱财。此外,这款木马的代码中还包含一些并未开始使用的加密手段,所以该木马很可能还会执行文件加密功能。如果确实如此,那Svpeng将成为目前知名度第二的手机恶意软件,其功能仅次于2014年5月发现的Pletor木马。

        该木马会检查用户手机,查找其是否包含列表中的金融应用程序,而且列表中包含的应用数量未来可能还会增加。当这种应用启动时,Svpeng会窃取在线银行的登录名和密码,这一点同窃取俄罗斯银行账户手段一样。英文版的Svpeng目前会检查受害者设备中是否包含以下应用程序:

  • USAA Mobile
  • Citi Mobile
  • Amex Mobile
  • Wells Fargo Mobile                          
  • Bank of America Mobile Banking
  • TD App
  • Chase Mobile                              
  • BB&T Mobile Banking
  • Regions Mobile

        之后,木马会锁定手机设备的屏幕,并且在屏幕显示假冒的联邦调查局(FBI)的处罚通知,要求用户以Green Dot MoneyPak卡的形式支付200美元的罚金。

        目前,我们发现针对英语国家用户的攻击中,超过91%均针对美国和英国。另有9%针对印度、德国和瑞士。但很可能不久之后,其就会蔓延到其他英语国家,甚至其他语言国家。

        “如果用户的移动设备中未安装安全解决方案,很难抵御美国版的Svpeng木马的攻击。该恶意软件会完全锁定被攻击设备,而不是像Cryptolocker那样只锁定某些文件。如果这种事发生在您的身上,您几乎无计可施。解锁设备的唯一希望是这台设备在感染之前就已经获得root权限,这样就可以在不删除数据的前提下,解锁设备。还有一种清除木马的手段,如果您的手机没有获得root权限,可以将其启动到“安全模式”,然后清除手机上的所有数据,这样做可以保证SIM卡和SD卡中的数据不受损且不被感染 ”,卡巴斯基实验室自身恶意软件分析专家Roman Unuchek解释说。

        卡巴斯基实验室产品检测到的Svpeng为Trojan-Banker.AndroidOS.Svpeng.a.

        卡巴斯基实验室针对个人和企业用户的安全解决方案包含大量能够阻止不同类型恶意软件攻击的技术,包括抵御能够窃取用户机密数据和金融数据的恶意软件以及勒索软件,避免用户重要文件被加密,让网络罪犯可以乘机索要赎金。

        想要了解更多详情,请访问securelist.com.