SlemBunk Android trójai


2015. december 18. 09:48

CH azonosító

CH-12872

Angol cím

Android trojan:SlemBunk

Felfedezés dátuma

2015.12.16.

Súlyosság

Közepes

Érintett rendszerek

Android
Google

Érintett verziók

Android

Összefoglaló

A FireEye kutatói számos olyan Android trójai alkalmazást fedeztek fel ami legitim alkalmazásokat imitál, beleértve 33 pénzügyi intézmény és szolgáltató alkalmazását, és két népszerű internetes fizetési alkalmazást is. A kártevő családot „SlemBunk”-nak nevezték el, és három kontinensen érzékelték: Észak Amerika, Európa és Ázsia.

Leírás

Az alkalmazás nem került fel a GooglePlay áruházba, tehát csak azok a felhasználók fertőződhetnek meg, akik külső forrásból telepítették. A kártevő újabb variánsai felnőtt weboldalak látogatóit fertőzik meg úgy, hogy a videók megnézéséhez az Adobe Flash frissítését kezdeményezi. A kártevőnek körülbelül 170 mintáját találták meg a világhálón, és ezeknek az alkalmazásoknak az alábbi jellemzőit gyűjtötték össze:

  • Magas minőségben összeállított bejelentkezési felhasználói felület a pénzügyi szervezetek szolgáltatásaihoz.
  • A háttérben fut, és monitorozza az aktív folyamatokat
  • Érzékeli hogy a felhasználó bizonyos alkalmazásokat elindít, majd a saját hamis bejelentkező oldalát mutatja
  • Megszerzi a felhasználó bejelentkezési adatait, majd elküldi azokat egy C&C vezérlőszerverre
  • Megszerzi az eszköz bizalmas információit (pl: telefonszám, telepített alkalmazások, eszköz típusa, OS verzió)
  • Képes fogadni távoli parancsokat SMS üzeneteken, és hálózati forgalmon keresztül
  • A fertőzött eszközön, eszköz adminisztrációs jogosultságot szerez
  • Képes új parancsok feldolgozását megtanulni
  • A távoli C&C szerverek folyamatosan változnak
  • Bővíthető további pénzügyi szervezetek bejelentkező oldalaival
  • Különböző mechanizmusok segítségével képes elkerülni hogy felfedeződjön

Megoldás

  • Ne telepítsen külső forrásból érkező alkalmazásokat, kizárólag a Play Áruházat használja
  • Tartsa naprakészen az eszközét a legfrisebb andoid verzióval, melyek folyamatosan bővülnek új biztonsági funkciókkal.

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.fireeye.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »