手机木马Svpeng变成键盘记录器，通过为残疾人提供的服务窃取数据

卡巴斯基实验室专家发现了具有键盘记录器功能的Svpeng手机银行木马新变种，这种攻击手段经常被针对性威胁攻击者所使用。这种修改版的木马会滥用安卓系统的无障碍服务，窃取用户输入的文本信息，例如银行的登陆凭证。这种攻击手段还可以让木马获得其他权限，阻止用户将其卸载。研究人员警告，仅通过保持设备软件更新并不能抵御这种木马。

无障碍服务通常以用户界面（UI）的形式增强对残疾用户或暂时无法与设备完全交互的用户（例如开车时）的支持。2017年7月，卡巴斯基实验室的研究人员发现Svpeng演化出滥用这种系统功能的攻击手段，可以窃取用户在设备其他应用上输入的文本数据，还能够授予自身多种额外的权限。

这种木马会伪装成一种flash播放器应用，通过恶意网站进行传播。激活后，它会要求获取无障碍服务的访问权限。通过利用这种功能，它可以实现以下目的：访问其他应用的用户界面，一旦键盘上有按键行为，就进行截图；记录数据，例如网银登陆凭证。它还可以赋予自己设备管理员权限以及覆盖其他应用的能力。它只所以需要应用覆盖功能，是因为有些应用，尤其是网银应用不允许截屏。这种情况下，木马会利用钓鱼窗口覆盖银行应用。研究人员发现一个钓鱼链接列表，其攻击目标为多个欧洲银行的网银应用。

此外，它还能将自身设置为默认的短信应用，发送和接收短信，拨打电话，读取联系人信息，并阻止任何试图删除其设备管理员权限的操作，从而避免自身被卸载。这种木马的恶意功能甚至能够在完全更新的设备上生效，即使这些设备已经安装了最新的安卓操作系统，也安装了所有的安全更新。

这种木马还没有被大范围部署，整体的攻击数量减少。迄今为止，大多数检测到的攻击都来自俄罗斯（29%）、德国（27%）、土耳其（15%）、波兰（6%）和法国（3%）。其中还包括钓鱼攻击。

“键盘记录和无障碍服务滥用是手机银行恶意软件的最新发展结果，Svpeng恶意软件在这领域遥遥领先，对此我们并不惊奇。Svpeng恶意软件家族以其创新而闻名，使得其成为最危险的恶意软件家族之一。它是最早针对短信银行实施攻击的恶意软件，同时也是最早使用钓鱼页面覆盖应用，截获登陆凭证的恶意软件，也是最早锁定设备，勒索赎金的手机恶意软件。所以，对这种恶意软件的每一个最新版本，都需要密切监控和分析，”卡巴斯基实验室资深恶意软件分析师Roman Unuchek说。

卡巴斯基实验室建议用户在设备上安装可靠的安全解决方案，例如卡巴斯基安全软件安卓版。同时，要检查想要安装的应用是否来自知名的开发商，不要从可疑来源或无法验证安全性的来源下载应用。最后，在赋予应用额外的权限时，一定要谨慎。

要了解更多有关Svpeng最新版的详情，请访问Securelist.com.

卡巴斯基实验室所有产品将这种木马检测为：Trojan-Banker.AndroidOS.Svpeng.ae.