Kaspersky Labs: Mobiler Trojaner Svpeng auf dem Weg zu uns?

Am vergangenen Sonntag, den 8. Juni 2014, entdeckte Kaspersky Lab, dass der mobile Trojaner ‚Svpeng‘ nun auch Nutzer in den USA und Großbritannien, aber auch Anwender in Deutschland und der Schweiz angreift. Svpeng kombiniert die Funktionen einer Finanz-Malware mit Ransomware-Fähigkeiten, bei denen das Schadprogramm attackierte Smartphones mit einer Verschlüsselung sperrt und die Freigabe mit einer „Lösegeldzahlung“ erpresst. Zum ersten Mal richtet Svpeng seine Aufmerksamkeit auf andere Märkte. Bisher war der mobile Trojaner in Russland sehr verbreitet und hat es dort auf das Geld der Anwender abgesehen(1).

Bereits eine Analyse von Kaspersky Lab aus November 2013 zeigte, dass der mobile Trojaner angegriffene Smartphones hinsichtlich der eingestellten Sprache überprüft. Dabei interessiert sich Svpeng für die Sprachen Russisch, Englisch – und Deutsch(2).

„Bereits in den ersten Varianten von Svpeng wird auf dem infizierten Gerät die eingestellte Sprache auf Deutsch, Russisch und Englisch überprüft. Nachdem sich der Trojaner vom russischen in den englischen Sprachraum weiterentwickelt hat, erwarten wir in naher Zukunft auch eine Ausbreitung auf den deutschen Sprachraum“, erklärt Christian Funk, Senior Virus Analyst bei Kaspersky Lab.

Bis dato stiehlt die Malware keine Anmeldeinformationen, aber dies ist nur eine Frage der Zeit. Denn Svpeng ist eine Modifikation eines sehr bekannten Trojaners, der in Russland operiert und dort hauptsächlich zum Diebstahl von Geld eingesetzt wird. Zusätzlich tauchen im Code des Trojaners Anmerkungen zur Cryptor-Methode auf, so dass es wahrscheinlich ist, dass bald Verschlüsselungsversuche zum Einsatz kommen. In diesem Fall würde das Svpeng zur zweitbekanntesten mobilen Malware mit dieser Funktion direkt nach Pletor(3) machen, der im Mai 2014 auftauchte.

Svpeng überprüft das Mobiltelefon eines Nutzers hinsichtlich bestimmter Finanz-Anwendungen. Womöglich tut er dies im Hinblick auf seine zukünftige Funktion, wenn er – wie jetzt schon bei russischen Bankkonten – damit beginnt, Login-Daten und Passwörter für das Online-Banking zu stehlen. Die englischsprachige Version von Svpeng fragt folgende Apps auf den Geräten der Opfer ab:

  • USAA Mobile
  • Citi Mobile
  • Amex Mobile
  • Wells Fargo Mobile
  • Bank of America Mobile Banking
  • TD App
  • Chase Mobile
  • BB&T Mobile Banking
  • Regions Mobile

Anschießend sperrt Svpeng den Bildschirm des Gerätes mit einer Nachahmung einer Straf-Benachrichtigung des FBI und fordert 200 US-Dollar in Form von ‚Green Dot’s MoneyPak‘-Karten.

91 Prozent der Attacken zielen derzeit auf englischsprachige Nutzer in den USA und Großbritannien ab. Die anderen 9 Prozent richten sich gegen Nutzer in Indien, Deutschland und der Schweiz.

Produkte von Kaspersky Lab wie Kaspersky Internet Security for Android(4) erkennen Svpeng als ‘Trojan-Banker.AndroidOS.Svpeng.a’.

(1) http://www.securelist.com/en/blog/8227/Latest_version_of_Svpeng_targets_users_in_US
(2) http://www.securelist.com/en/blog/8138/The_Android_Trojan_Svpeng_now_capable_of_mobile_phishing
(3) http://www.securelist.com/en/blog/8225/The_first_mobile_encryptor_Trojan
(4) http://www.kaspersky.com/de/android-security

Über Kaspersky Lab
Kaspersky Lab ist der weltweit größte, privat geführte Anbieter von Endpoint-Sicherheitslösungen. Das Unternehmen zählt zu den vier erfolgreichsten Herstellern von Sicherheitslösungen für
Endpoint-Nutzer. In seiner über 16-jährigen Unternehmensgeschichte hat Kaspersky Lab zahlreiche Innovationen im Bereich IT-Sicherheit auf den Weg gebracht und bietet effektive digitale Sicherheitslösungen für Großunternehmen, KMU und Heimanwender. Kaspersky Lab, mit Holding in Großbritannien, ist derzeit in rund 200 Ländern auf der ganzen Welt vertreten und schützt über 300 Millionen Nutzer weltweit. Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/.