Utrecht, 12 juin 2014 – En dépit du fait que le botnet Gameover Zeus et le ransomware Cryptolocker aient été rendus inoffensifs, il est encore trop tôt pour se réjouir. Tout d'abord, le délai de deux semaines expire au 17 juin, de sorte que les cybercriminels ont encore une semaine pour récupérer le contrôle sur leur botnet. Deuxièmement, les histoires sur la campagne concernant Gameover Zeus et Cryptolocker ont déjà conduit à un certain nombre de copieurs, également parmi les auteurs de logiciels malveillants mobiles.

Récemment, Kaspersky Lab a détecté un cheval de Troie mobile, actif pour le moment aux États-Unis et au Royaume-Uni, se nommant Svpeng. Il combine les fonctionnalités de logiciel malveillant financier avec celles de ransomware. C'est la première fois que Svpeng, un cheval de Troie mobile et notoire en Russie, utilisé pour voler de l'argent, se tourne vers d'autres marchés.

Pour l’instant, ce petit maliciel, apparemment d'origine russe, ne dérobe aucune information d'identification. Ce n'est cependant qu'une question de temps, car Svpeng est seulement une forme modifiée d'un cheval de Troie connu qui opère en Russie et qui est principalement utilisé pour voler de l'argent. En outre, le code de ce cheval de Troie contient des références à la méthode de Cryptor non encore utilisée. Il est donc probable que Svpeng sera bientôt utilisé pour le chiffrement de fichiers. Dans ce cas, Svpeng deviendra le deuxième logiciel malveillant mobile le plus connu, avec une telle fonctionnalité, après Pletor, apparu en mai 2014.

Svpeng recherche sur le téléphone d'un utilisateur certaines applications financières, probablement en vue d'une utilisation future, lorsqu'il commence à voler les informations d'identification / mot de passe pour l'accès à la banque en ligne, comme il le fait maintenant sur les comptes bancaires russes. Le Svpeng en version anglaise vérifie actuellement la présence des applications suivantes sur l'appareil d'une victime :

· USAA Mobile
· Citi Mobile
· Amex Mobile
· Wells Fargo Mobile
· Bank of America Mobile Banking
· TD App
· Chase Mobile
· BB&T Mobile Banking
· Regions Mobile

Ensuite, il verrouille l'écran de l'appareil mobile avec un faux message au sujet d'une sanction venant du FBI et exige 200 $ sous la forme de cartes Green Dot’s MoneyPak.

Pour le moment, on constate que plus de 91% des attaques sont dirigées vers les utilisateurs anglophones aux États-Unis et au Royaume-Uni. Les 9% restants ciblent l'Inde, l'Allemagne et la Suisse. Bientôt, il atteindra les autres pays anglo-saxons et même d'autres régions de langues différentes.

« Il est impossible de protéger un appareil mobile qui n'est pas équipé d'une solution de sécurité contre une attaque du Svpeng américain : le maliciel bloque complètement l'appareil, au lieu de bloquer des fichiers individuels, comme dans le cas de Cryptolocker. Si cela vous arrive, vous ne pouvez à peu près rien à faire. Le seul espoir de pouvoir déverrouiller le téléphone à nouveau est de le faire s’il a déjà été rooté avant que l'infection a eu lieu.
Ensuite, il peut être déverrouillé sans effacer les données. Une autre option pour supprimer le cheval de Troie, si le téléphone n'a pas été rooté, est de le lancer en « Mode Sécurité » (Safe Mode) et d'effacer toutes les données sur le téléphone, ce qui permettra aux cartes SIM et SD de rester intactes et non infectées », explique Roman Unuchek, analyste senior Malware chez Kaspersky Lab.

Les produits de Kaspersky Lab détectent Svpeng comme Trojan-Banker.AndroidOS.Svpeng.a.

Les solutions de sécurité de Kaspersky Lab pour particuliers et professionnels comprennent une gamme de technologies pour prévenir différents types d'attaques de logiciels malveillants, comme les attaques conçues pour voler des données confidentielles et financières ou pour encoder des fichiers importants dans le but de demander de l’argent.