FireEye专家们最近发现SlemBunk再次进化,这次它变身成了一个瞄准全球手机银行用户的强大的Android木马。
去年十二月,FireEye安全专家首次发现Android银行木马SlemBunk,一开始还只是针对银行用户使用的手机,作为从第三方网站下载的合法银行app的副本来迷惑用户的双眼。
它能够监视移动设备上银行app的执行进程。当用户启动这个app时恶意软件就会向他提供一个假的用户界面以诱骗用户提供他们的凭据。
不过现在SlemBunk 的Android木马变得更加复杂了,最近专家们注意到这个木马更加隐蔽更加难以解决了。
FireEye的安全专家表示:
“由于SlemBunk扩大了攻击的银行范围,代码也就变得更加复杂。而且,之后的版本还利用不同的技术掩盖潜在的反向工程。下图是一个Base64编码的字符串。在一些情况下,SlemBunk的开发者会利用商业包装——保护应用程序不被盗版的DexProtector。那么那些使用了这个包装的恶意软件大大提升了分析的难度。”
专家们推测SlemBunk的进化之快可能源于组织性的犯罪。
“SlemBunk木马的兴起和发展清楚地表明着手机恶意软件变得越来越复杂越来越有针对性,这一定是团体协作出来的成果。”
这个安卓木马背后的组织已经将至少31个不同的银行目标和2个移动支付服务供应商作为恶意软件的目标。
现在这个FireEye检测到的最新变种是通过驱动下载入侵到手机里,这次它将目标指向了那些访问色情网站并下载的用户。
“我们还没有在Google Play上发现任何SlemBunk实例,因此用户只会在恶意网站上下载软件的时候会被感染。新版本的SlemBunk通过向色情网站的用户频繁弹送下载一个Adobe Flash以查阅更多色情图片视频的提示,让用户下载恶意软件。”
攻击者就是诱使粗心的用户安装这个声称是Flash更新的假app。SlemBunk通过一个隐形多级机制被下载到设备中,在第一阶段中下载的APK并不会包含任何为避免触发在设备上安装的安全解决方案而设置的恶意功能。
但是其中的“dropper”app隐藏了一些功能,它在下载过程中产生代码并本地保存到其他临时的APK中on个。之后,第二个APK文件由dropper动态加载到内存中并从文件系统中删除出去。于是,第二个APK就成为了最终的恶意有效负载。
FireEye表示:
“即使检测到并删除了SlemBunk负载的恶意行动,那个下载器也会定期在设备里重新下载那个有效负载。”
为了保护您的设备免受这种威胁,FireEye建议你:
不要从第三方应用商店安装app。
保证安卓设备更新。
发表评论