Троянец из рекламы

Новости Угрозы

Есть такая распространенная точка зрения: «Если я ничего плохого не делаю, то ничем и не заражусь». Дескать, если не лазить по сомнительным порносайтам, не открывать подозрительные вложения из почты и не устанавливать всякие левые приложения, то все будет хорошо и никакую заразу не подцепишь.

Троян Svpeng.q попадает на Android-устройства через Google AdSense

Было бы здорово, если бы все было так просто. К сожалению, это не так: даже те, кто ходит только на «белые и пушистые» сайты, тоже рискуют подхватить какого-нибудь зловреда. Например, именно это произошло с 318 тысячами пользователей (318 тысячами!), поймавшими на свои Android-устройства банковского троянца Svpeng.q из рекламной сети Google AdSense.

Google AdSense — это самая большая рекламная сеть в мире. Так что использовать ее для распространения зловредов наверняка голубая мечта многих злоумышленников. И вот кому-то это удалось.

Киберпреступники размещали в сети рекламные баннеры, которые выводились с помощью скрипта с обфусцированным кодом, запускавшим скачивание APK-файла — установщика троянца Svpeng.q. Причем не просто скачивание, а по частям, через специальную функцию. Сделано это для того, чтобы устройство пользователя не выводило предупреждений о том, что, возможно, скачанный файл может оказаться опасным.

Также скрипт сделан так, что работает он только на устройствах с сенсорным экраном и только при использовании браузера Chrome. Таким образом преступники, по сути, ограничили аудиторию тех, кто видит баннер, пользователями смартфонов и планшетов на операционной системе Android, для которой и написан троян Svpeng.q.

О том, что делает Svpeng.q, можно почитать в материале наших исследователей на Securelist, но если кратко, то он мало чем отличается от остальных банковских троянцев: основная его функция — воровать номера карт, заменяя окна банковских приложений своими. То есть он попросту позволяет мошенникам воровать ваши деньги.

Мы сообщили Google о том, как именно зловред обходит предупреждения о потенциальной опасности в Chrome, и к настоящему моменту для браузера уже выпущен патч, исправляющий проблему.

К тому же, чтобы Svpeng заразил устройство, пользователь должен его не только скачать, но и самостоятельно установить. Правда, зловред старается показаться полезным, чтобы у пользователя все же возникло желание его поставить. Скачиваемый файл носит названия вроде Android_update_6.apk или Instagram.apk, то есть вовсю прикидывается либо известным приложением, либо системным обновлением. Такая социальная инженерия нередко срабатывает, и троян получает контроль над устройством пользователя.

Как защититься от троянов из рекламы?

Как видите, даже если читать только самые чистоплотные сайты, все равно можно подцепить зловреда. Причем администрация сайтов в данном случае не виновата — дело в рекламном движке. Чтобы защититься от автоматически скачиваемых троянцев из рекламы, мы рекомендуем придерживаться следующих правил:

1. Не открывайте файлы, которые вы сами не скачивали. Даже если что-то называется android_update.apk, это совсем не значит, что внутри этого чего-то действительно находится обновление системы.

2. Запретите установку приложений из неофициальных магазинов. Это можно сделать в настройках любого гаджета на Android, и тогда, даже если вы по ошибке согласитесь установить такое псевдообновление, система не позволит вам этого сделать.

3. Вовремя устанавливайте настоящие обновления операционной системы и приложений. Да-да, обновите Google Chrome на своих Android-устройствах прямо сейчас, это не займет много времени.

4. Устанавливайте на каждое устройство антивирус. В данном случае пользователей спас бы антивирус, работающий в реальном времени. Сканеры, которые запускаются по команде пользователя, здесь не годятся — Svpeng умеет «убивать» процессы популярных антивирусных решений. А вот, например, платная версия Kaspersky Antivirus & Security для Android детектирует его как Trojan.Banker.Androidos.Svpeng.Q — и справляется с ним без проблем.