Actualidad

Svpeng, el virus que te infecta a través de anuncios

Sylvain Naudin - flickr.com

A mediados del mes de julio, los analistas del Kaspersky Lab, responsables del antivirus del mismo nombre, lanzaban una dramática alerta: La mayor red de distribución de anuncios del mundo, Adsense, había sido infectada por un troyano. El sueño de muchos delincuentes se había hecho realidad.

La noticia preocupaba por varios motivos:

  • El troyano era una evolución de un viejo conocido: AndroidOS.Svpeng. Un malware especializado en secuestrar apps bancarias (spoofing), por las que pedía un rescate para desbloquearlas.
  • Adsense es una red global de Google que se encuentra en la práctica totalidad de webs con tráfico medio y alto. Por lo que infectar sus anuncios, podía suponer que el troyano se propagase por cualquier rincón del planeta en cuestión de unas pocas horas.
  • Este malware afecta al sistema operativo más usado del planeta, Android (86,2% en 2016), y al navegador más popular, Chrome (49,48%). Permitiendo que los anuncios se muestren con normalidad en cualquier otra versión de SO o navegador.

 

La primera versión de Svpeng se distribuyó en Estados Unidos a través de mensajes de texto, empleando métodos de ingeniería social que engañaban al usuario para que descargase el software malintencionado. Sin embargo, esta segunda versión, puede utilizar un bug de Chrome para descargarse sin consentimiento del usuario, e infectarlo haciéndose pasar por una importante actualización de una aplicación de confianza.

El personal de Kaspersky descubrió que la evolución de Svpeng había infectado anuncios mostrados en una importante cadena de TV rusa, llegando a afectar, en dos meses, a más de 318.000 usuarios de Android. Y que incluso, durante un solo día, consiguió entrar en casi 40.000 dispositivos:

propagacion_svpeng

Esta nueva versión del Caballo de Troya, consigue vulnerar los avisos de Chrome para que se descargue en tu móvil un archivo ejecutable sin mostrar el mensaje de consentimiento. Dicho fichero, adopta el nombre de importantes actualizaciones de sistema o de apps populares (Android_update.apk, Instagram10.3.0.apk…). De forma que cuando se ejecuta, confunden al usuario que, sin dudarlo, acepta la instalación del mismo facilitando la infección.

Tras instalarse en el dispositivo, el troyano solicita permisos de administrador y se oculta para no poder ser detectado. En segundo plano, se dedica a robar tarjetas bancarias a través de la sustitución del interfaz de la app de banca móvil. Además sustrae datos de historial de llamadas, navegación y ubicación, fotografías, mensajes sms, datos de identificación web…

Afortunadamente, la compañía de Alphabet, ha ido detectando y retirando los anuncios infectados y ha lanzado una actualización que impide que el virus pueda descargarse sin tu consentimiento. Así que si usas el navegador Chrome en Android, es importante que actualices la aplicación.

Así mismo, desde Kaspersky, advierten que este tipo de aplicaciones pueden infectarte  desde webs totalmente legítimas, y lanzan una serie de consejos para evitar ser infectado:

  1. Nunca abras archivos si no estás seguro de cómo llegaron a tu dispositivo. El hecho de que un archivo se llame Android_update.apk no significa que contenga una actualización del sistema. Puedes saber si el sistema dispone de una actualización comprobando la información de tu dispositivo en los ajustes.
  2. No permitas la instalación de aplicaciones desde tiendas de terceros. Todo dispositivo Android incluye este ajuste. De este modo, aunque apruebes por error la instalación de una pseudoactualización, el sistema la detendrá.
  3. Instala actualizaciones reales cuando estén disponibles. Asimismo, actualiza Google Chrome en todos tus dispositivos Android lo antes posible. No se tarda mucho y podría ahorrarte tiempo, molestias e, incluso, dinero.
  1. Utiliza una protección antivirus en todos tus dispositivos. En casos como este, una solución de seguridad en tiempo real puede proteger al usuario (a diferencia de los análisis de virus que deben ejecutarse de forma manual). Svpeng sabe cómo detener los procesos de soluciones de seguridad populares, así que los análisis ni se iniciarán.

 

Si quieres saber más sobre los mecanismos de infección que emplea este “malvertising”, te recomendamos las siguientes lecturas:

super_looper

Escribir comentario

Haz clic aquí para dejar tu comentario