Svpeng, bankacılık işlemlerinde kullanılan bilgileri kaydediyor ve bunu yapmak için Android’in erişilebilirlik özelliklerinden faydalanıyor.

Truva atı, bu yaklaşımı sayesinde cihaz özelinde başka hakları ve yetkileri de alabiliyor ve cihazdan silinemiyor. Uzmanlar, cihaz yazılımlarını güncel tutmanın bu zararlı yazılımdan korunmak için bir iş yaramadığı uyarısında bulunuyor. Svpeng’in yeni sürümünün en sık rastlandığı ilk 3 ülke arasında Türkiye de var.

Erişilebilirlik hizmetleri genellikle, engelli veya bir süreliğine cihazla tam olarak etkileşime geçemeyecek (örneğin araba sürecek) olan kullanıcılara destek olmak amacıyla tasarlanan kullanıcı arayüzü iyileştirmeleridir. Kaspersky Lab araştırmacıları 2017 Temmuz ayında, Svpeng’in bu sistem özelliğini kötüye kullanarak cihazlarda kullanılan uygulamalarda yazılan metinleri çalabildiğini ve ayrıca ek bir takım hakları kendisinde toplayabildiğini ortaya çıkardı.

Truva atı, bir takım zararlı web siteleri aracılığıyla, sahte bir flash oynatıcısı olarak yayılıyor. Çalışmaya başladığında erişilebilirlik hizmetlerini kullanmak üzere izin istiyor. Bu özelliği kötüye kullanan Svpeng, başka uygulamaların kullanıcı arayüzlerine erişerek her tuş hareketi sırasında bir ekran görüntüsü alıyor ve bankacılık bilgileri gibi verileri kaydediyor. Yönetici haklarını da alabilen Truva atı, kendisini diğer uygulamaların üzerine yerleştirebiliyor. Bu yeteneği özellikle önemli, çünkü bankacılık uygulamaları gibi uygulamalar kendileri kullanılırken ekran görüntüsü alınmasına izin vermiyor. Böyle durumlarda Svpeng, söz konusu uygulamanın üzerine kendi oltalama penceresini geçiriyor. Araştırmacılar, Svpeng’in kullandığı ve Avrupa’nın önde gelen bankalarının bankacılık uygulamalarını hedefleyen oltalama adresleri içeren bir liste ortaya çıkardı.

Dahası, Svpeng kendisini varsayılan SMS uygulaması olarak yükleyerek, SMS gönderip alabiliyor, aramalar yapabiliyor, adres defterini okuyabiliyor, yönetici haklarının elinden alınmasını engelleyebiliyor ve dolayısıyla cihazdan silinemiyor. Truva atının zararlı teknikleri, Android OS’un en son sürümü yüklenerek tamamen güncellenmiş cihazlarda bile çalışıyor.

Henüz çok yayılmamış olan Truva atının toplam kaydedilmiş saldırı miktarı yüksek değil, ancak Türkiye, şimdiye kadar en çok saldırının tespit edildiği ülkeler arasında, Rusya (%29) ve Almanya’dan (%27) sonra saldırıların %15’in görüldüğü ülke olarak ikinci sırada bulunuyor. Türkiye’nin ardından Polonya (%6) ve Fransa (%3) geliyor.

Kaspersky Lab Kıdemli Zararlı Yazılım Analisti Roman Unuchek, konuyla ilgili olarak şöyle diyor: “Tuş kaydetmek ve erişilebilirlik hizmetlerini kötüye kullanmak, mobil bankacılığı hedefleyen zararlı yazılımlar için yeni bir gelişme ve bu noktada Svpeng’in öncülük yaptığını görmeye şaşırmadık. Svpeng zararlı yazılım ailesi yenilikçi olmasıyla biliniyor ve bu da onu en tehlikeliler sınıfına sokuyor. SMS bankacılığını ilk hedefleyen, uygulamaların üzerine oltalama sayfaları yerleştirerek bilgi çalan ve cihazları kilitleyerek para talep eden hep Svpeng oldu. Bu sebeple, karşılaştığımız her yeni sürümü gözlemleyip analiz etmek çok önemli.”