Mobiel bankieren-trojan treft 318.000 Android-gebruikers

Svpeng maakt gebruik van een kwetsbaarheid in Google Chrome voor Android. De 'trojan' is sinds medio juli al bij circa 318.000 Android-gebruikers aangetroffen. De mobiel bankieren-trojan Svpeng is ontworpen om bankpasgegevens te stelen. Het verzamelt tevens de gesprekshistorie, sms- en multimediaberichten, browser bookmarks en contactpersonen. Svpeng valt voornamelijk Russisch-sprekende landen aan, maar heeft de potentie om zich wereldwijd te verspreiden. Vanwege de specifieke aard van de malwareverspreiding lopen wereldwijd miljoenen webpagina's risico, waarbij geldt dat veel van hen AdSense gebruiken om advertenties weer te geven. Google zou de kwetsbaarheid inmiddels hebben verholpen.

Google AdSense

Het bleek dat de aanvallers een manier hadden gevonden om enkele belangrijke beveiligingsfuncties van Google Chrome voor Android te omzeilen. Het eerste bekende geval van een Svpeng-aanval vond medio juli plaats op een online Russische nieuwssite. Tijdens de aanval downloadde de Trojan zichzelf heimelijk op de Android-apparaten van bezoekers van de website. Dat zou voor het eerste zijn gebeurd via een geïnfecteerde advertentie, op Google AdSense. De advertentie werd normaal weergegeven op niet-geïnfecteerde webpagina's, terwijl de trojan zichzelf alleen downloadde wanneer de gebruiker de pagina opende via de Chrome-browser op een Android-apparaat. Svpeng vermomde zich als een belangrijke browser-update of een populaire app, om de gebruiker er toe over te halen de installatie goed te keuren. Zodra de malware werd gestart, verdween de bron uit de lijst van geïnstalleerde apps en vroeg het de gebruiker om beheerdersrechten voor het apparaat.