El troyano se distribuye a través de ataques drive-by-download que utilizan múltiples etapas y aplicaciones Android no maliciosos.
Este malware se dirige a los usuarios de banca móvil y ha evolucionado hasta convertirse en un código sofisticado, persistente y difícil de detectar, lo cual le sugiere a los expertos que el mismo es parte de un ataque en campaña bien organizado.
Los investigadores de la empresa de seguridad FireEye fueron los primeros en documentar el troyano en diciembre y lo llamaron SlemBunk.
Una vez instalado, este malware que funciona con preferencia en Android SO inicia el seguimiento de los procesos que se ejecutan en el dispositivo y, cuando detecta que se puso en marcha una aplicación de banca móvil, muestra una interfaz de usuario falsa en la parte superior de la misma para engañar a los usuarios y llevarlos a introducir sus credenciales.
El troyano puede suplantar las interfaces de usuario de aplicaciones de – al menos – 31 bancos de todo el mundo y dos proveedores de servicios de pago móviles.
Mutación peligrosa
Las primeras variantes de SlemBunk distribuyeron copias del malware en aplicaciones legítimas a través de diversos sitios web de terceros, pero no de Google Play. Esto significaba que los dispositivos configurados sólo para instalar aplicaciones de Google Play no se vieron afectados.
Las versiones más recientes, sin embargo, se distribuyen a través de técnicas de drive-by download, predominantemente al visitar sitios web porno. Propietarios de dispositivos son alertados de que para ver los videos en el sitio tienen que actualizar su Flash Player y un APK (apk) se ofrece para su descarga.
“Los usuarios incautos, que están más ansiosos de ver el video que en evaluar si esa aplicación es realmente para eso, aceptarían de buena gana lo que el sitio web está diciendo, y felizmente instalan la aplicación que pretende ser una actualización de Flash”, dijeron los investigadores FireEye en una entrada de blog este miércoles.
Esto requiere que los usuarios permitan usuarios permitan la instalación de aplicaciones de fuentes desconocidas, lo cual está desactivado por defecto en los dispositivos Android.
“Incluso si se detecta la acción maliciosa de la carga útil SlemBunk y se retira, el programa de descarga más subrepticia podría intentar periódicamente para volver a descargarlo en el dispositivo. El uso de un drive-by download para distribuir la carga útil SlemBunk y los detalles de la comunicación del servidor CnC sugieren que esta campaña es bien organizado y sigue evolucionando“, han explicado los investigadores de FireEye.
1 comentario