La última versión de Svpeng ataca en Estados Unidos

Hace casi un año, escribimos nuestra primera entrada del blog sobre el troyano Svpeng. En aquel entonces, teníamos la impresión de que era un troyano de SMS común y corriente que robaba dinero de cuentas bancarias por SMS.

Después, descubrimos que los cibercriminales habían perfeccionado la funcionalidad del troyano y comenzado a atacar a los usuarios que ingresaban a sus cuentas bancarias desde sus teléfonos móviles, en particular a los usuarios de tres de los bancos más grandes de Rusia. Svpeng esperaba a que el usuario abriera una aplicación para ingresar a su banco y la reemplazaba con su propio programa en un intento para obtener los datos de inicio de sesión de su víctima. El troyano también intentaba robar la información de la tarjeta de crédito del usuario mostrando una ventana sobre la aplicación de Google Play en la que solicitaba la información que interesaba a los criminales.

Después, a inicios de 2014, detectamos una nueva modificación de Svpeng que podía comportarse como un programa chantajista. Cuando el servidor se lo pedía, el programa trataba de bloquear el teléfono del usuario y mostraba un mensaje que exigía un pago de 500 $ como multa por sus supuestos actos criminales.

[Traducción:
“Tu dispositivo ha sido bloqueado por la razón que se explica a continuación:
Tu dispositivo estaba intentando ingresar a un sitio de pornografía infantil y ha sido bloqueado.
Cada día, trabajamos para bloquear este tipo de sitios y la distribución de material horroroso, y nuestras operaciones son costosas. Te pedimos que pagues los gastos administrativos pertinentes.
El acceso, descarga y distribución de un material tan espantoso es condenable y tendrá un efecto duradero en tu familia y amigos (…)”]

Pero esta característica no tardó en desaparecer de la nueva versión de Svpeng. Resulta que los cibercriminales responsables habían decidido mejorar el troyano y lo publicaron como un troyano separado. Durante todo ese tiempo, la versión original de Svpeng se siguió desarrollando e infectando a nuevos usuarios, y los clientes de los bancos rusos seguían siendo el principal objetivo.

Pero, a principios de junio, identificamos una nueva versión del troyano. Mientras que la versión principal tenía como objetivo a los usuarios de Rusia, el 91% de los infectados por la nueva versión estaba en los Estados Unidos. El programa malicioso también atacaba a usuarios del Reino Unido, Suecia, Alemania, India y Rusia.

El nuevo Svpeng es un típico programa chantajista. Después de ejecutarse, finge que hace un análisis del teléfono…

…y, por supuesto, encuentra contenido prohibido.

[TRADUCCIÓN:
“Este dispositivo ha sido bloqueado por haber violado las leyes federales de los Estados Unidos:
*Artículo 161
*Artículo 148
*Artículo 215
*Artículo 301
*del código penal de los Estados Unidos.
Su dispositivo se empleó para visitar sitios web con contenido pornográfico.
Se detectaron las siguientes violaciones: (…)”]

El programa malicioso procede a bloquear el teléfono y exige un pago de 200 $ para desbloquearlo. También muestra una foto del usuario que tomó con la cámara frontal del teléfono, un comportamiento que es casi idéntico al de Trojan-Ransom.AndroidOS.Pletor.a, un troyano que se descubrió hace poco.

[TRADUCCIÓN:
La multa es de 200 $.
Ud. Puede pagarla con cupones MoneyPak.
Tan pronto como la cuenta bancaria reciba el dinero, se desbloqueará su dispositivo y todos sus datos estarán descifrados en un lapso de 24 horas.
Hemos tomado una fotografía con su cámara, se incluirá en la investigación.
Hemos copiado todos sus contactos. Si no paga la multa, notificaremos a todos sus amigos y colegas sobre nuestra investigación.]

Los creadores del troyano aceptan cupones MoneyPak como forma de pago – Svpeng asiste a la víctima para informarle dónde pueden comprarlos en los Estados Unidos.

Cuando se trata de troyanos chantajistas, la nueva modificación de Svpeng sobresale por la forma novedosa en la que implementa características comunes: bloquea el teléfono por completo, haciendo que sea imposible hasta abrir el menú para reiniciar el dispositivo. La víctima puede apagar su equipo presionando el botón de encendido/apagado por algunos segundos, pero el troyano comienza a funcionar de inmediato cada vez que se enciende.

Logramos identificar siete modificaciones del nuevo Svpeng; todas ellas tienen la posibilidad de cifrar datos, pero ninguna intenta hacerlo. Esto podría ser un indicio de que en un futuro los cibercriminales utilizarán el troyano para descifrar los datos del usuario y exigir un rescate para descifrarlos.

Estas versiones tienen otra característica distintiva, además de sus funciones de ransomware. El troyano revisa si alguna de las siguientes aplicaciones está instalada en el sistema:

• com.usaa.mobile.android.usaa
• com.citi.citimobile
• com.americanexpress.android.acctsvcs.us
• com.wf.wellsfargomobile
• com.tablet.bofa
• com.infonow.bofa
• com.tdbank
• com.chase.sig.android
• com.bbt.androidapp.activity
• com.regions.mobbanking

Después, carga los resultados de su análisis en el servidor de los cibercriminales. Como puedes ver, la lista incluye aplicaciones que los principales bancos estadounidenses ofrecen para hacer transacciones bancarias usando dispositivos móviles. Es posible que los cibercriminales sólo estén haciendo un estudio estadístico sobre el uso de estas aplicaciones en los dispositivos infectados. Considerando que Svpeng es un troyano bancario ante todo, podemos predecir que veremos ataques a los clientes de estos bancos.