Вредоносная реклама в Google AdSense

 Как банковский троянец умело обходит защиту устанавливаясь на смартфоны пользователей.

Специалистами из «Лаборатории Касперского» был исследован новый банковский троянец Svpeng, отличительной особенностью этого банкера является то, что он распространялся через зараженную рекламу в Гугл Адсенс, вредоносная реклама демонстрировала на устройствах пользователя сообщения, которые скачивали на SD-карту банковского троянца.

Примечательно то, что загрузка подозрительного файла должна блокироваться устройством, однако этого не происходило. Разобрав троянца, исследователи выяснили, что в ответ на запрос на просмотр вредоносной рекламы, сервер отвечал JavaScript вначале которого был обфусцированный вредоносный код.  При его запуске скачивался вредоносный APK фаил, зашифрованный в массив, после чего зловред определял способ, как он может сохранить этот фаил (перебирая все возможные способы на устройстве).

После расшифровки зловредного файла он разбивался на части по 1024 байта, а обработчик способствовал их автоматическое сохранение на SD-карту.  Если скачать фаил целиком, то пользователь получал предупреждение от устройства о небезопасности данного файла, поэтому хакеры и придумали разбить вредоносный фаил на несколько частей, что и позволили обойти это предупреждение. Стоит отметить, что банкер нацелен только на русскоязычного пользователя, попадая на устройство, он проверял язык устройства, если он был русским, зловред продолжал работу.

Отличительной особенностью является и то, что описанный выше метод заражения работает только в Google Chrome для Android.

Стало известно, что Google Chrome уже разработала патч, закрывающий эту дыру, он будет доступен в ближайшее время. По оценкам специалистов, зловред успел заразить около 318 тысяч устройств в России и странах СНГ, специалисты так же считают, что география распространения будет шире.