Android banking malware SlemBunk er en del af en velorganiseret kampagne

En Android Trojan, der er målrettet mod mobile bankbrugere, har udviklet sig til en sofistikeret, vedvarende og vanskelig at opdage trussel, hvilket antyder, at den er en del af en velorganiseret angrebskampagne.

Forskere fra sikkerhedsfirmaet FireEye først dokumenterede Trojan i december og navngav det SlemBunk. Når den først er installeret, begynder den at overvåge processerne, der kører på enheden, og når den registrerer, at en mobilbank-app er lanceret, viser den en falsk brugergrænseflade oven på den for at narre brugerne til at indtaste deres legitimationsoplysninger.

Trojan kan forfalske brugergrænsefladerne til apps fra mindst 31 banker fra hele verden og to udbydere af mobile betalingstjenester.

De første varianter af SlemBunk blev distribueret som useriøse kopier af legitime apps gennem forskellige tredjepartswebsteder, men ikke Google Play. Dette betød, at enheder, der er konfigureret til kun at installere apps fra Google Play, ikke blev påvirket.

De seneste versioner distribueres dog via drive-by download-teknikker, overvejende når man besøger pornowebsteder. Enhedsejere bliver advaret om, at de skal opdatere deres Flash Player for at se videoer på webstedet, og en APK (Android-applikationspakke) tilbydes til download.

”Uvigtige brugere, der er mere ivrige efter at se videoen end at overveje, hvad denne app virkelig handler om, ville let acceptere, hvad webstedet siger, og heldigvis installere den app, der hævder at være en Flash-opdatering,” sagde FireEye-forskerne i et blog-indlæg Onsdag.

Dette kræver stadig brugere at aktivere installationen af ​​apps fra ukendte kilder, som som standard er deaktiveret på Android-enheder.

Angrebet er mere kompliceret, end det ser ud ved første øjekast, fordi den APK, der blev downloadet i denne første fase, ikke indeholder nogen ondsindet funktionalitet, hvilket gør det svært for antivirus-apps og endda Android's indbyggede app-scanner at registrere det.

Denne "dropper" -app bruger en pakningsteknik til at skjule nogle funktioner, der genererer kode undervejs og gemmer den i en anden midlertidig APK i enhedens lager. Denne anden APK indlæses dynamisk i hukommelsen af ​​den første app og slettes derefter fra filsystemet. Det er heller ikke eksplicit ondsindet, men det indeholder den rutine, der downloader den endelige, ondsindede nyttelast.

Downloader-appen kontakter en kommando-og-kontrolserver og modtager linket til den faktiske SlemBunk APK og også dens MD5-signatur. Signaturen bruges til at kontrollere, at den downloadede fil ikke er blevet manipuleret med eller ødelagt under transmission.

Dette kædet angreb, hvis første to trin ikke er direkte ondsindet, er beregnet til at gøre angrebet mere vedvarende, sværere at opdage og vanskeligt at analysere, sagde FireEye-forskerne. "Selv hvis den ondsindede handling af SlemBunk-nyttelasten blev opdaget og fjernet, kunne den mere uhyggelige downloader med jævne mellemrum forsøge at downloade nyttelasten til enheden."

Kommando-og-kontrolinfrastrukturen er også gennemtænkt ved hjælp af separate domænenavne til nyttelast og konfigurationsdata og administrationspanel.

”Brugen af ​​en download-by til at distribuere SlemBunk nyttelasten og detaljerne i CnC-serverkommunikationen antyder, at denne kampagne er velorganiseret og fortsætter med at udvikle sig,” sagde FireEye-forskerne.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.