SlemBunk Android trójai


2015. december 18. 09:48

CH azonosító

CH-12872

Angol cím

Android trojan:SlemBunk

Felfedezés dátuma

2015.12.16.

Súlyosság

Közepes

Érintett rendszerek

Android
Google

Érintett verziók

Android

Összefoglaló

A FireEye kutatói számos olyan Android trójai alkalmazást fedeztek fel ami legitim alkalmazásokat imitál, beleértve 33 pénzügyi intézmény és szolgáltató alkalmazását, és két népszerű internetes fizetési alkalmazást is. A kártevő családot „SlemBunk”-nak nevezték el, és három kontinensen érzékelték: Észak Amerika, Európa és Ázsia.

Leírás

Az alkalmazás nem került fel a GooglePlay áruházba, tehát csak azok a felhasználók fertőződhetnek meg, akik külső forrásból telepítették. A kártevő újabb variánsai felnőtt weboldalak látogatóit fertőzik meg úgy, hogy a videók megnézéséhez az Adobe Flash frissítését kezdeményezi. A kártevőnek körülbelül 170 mintáját találták meg a világhálón, és ezeknek az alkalmazásoknak az alábbi jellemzőit gyűjtötték össze:

  • Magas minőségben összeállított bejelentkezési felhasználói felület a pénzügyi szervezetek szolgáltatásaihoz.
  • A háttérben fut, és monitorozza az aktív folyamatokat
  • Érzékeli hogy a felhasználó bizonyos alkalmazásokat elindít, majd a saját hamis bejelentkező oldalát mutatja
  • Megszerzi a felhasználó bejelentkezési adatait, majd elküldi azokat egy C&C vezérlőszerverre
  • Megszerzi az eszköz bizalmas információit (pl: telefonszám, telepített alkalmazások, eszköz típusa, OS verzió)
  • Képes fogadni távoli parancsokat SMS üzeneteken, és hálózati forgalmon keresztül
  • A fertőzött eszközön, eszköz adminisztrációs jogosultságot szerez
  • Képes új parancsok feldolgozását megtanulni
  • A távoli C&C szerverek folyamatosan változnak
  • Bővíthető további pénzügyi szervezetek bejelentkező oldalaival
  • Különböző mechanizmusok segítségével képes elkerülni hogy felfedeződjön

Megoldás

  • Ne telepítsen külső forrásból érkező alkalmazásokat, kizárólag a Play Áruházat használja
  • Tartsa naprakészen az eszközét a legfrisebb andoid verzióval, melyek folyamatosan bővülnek új biztonsági funkciókkal.

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.fireeye.com

Legfrissebb sérülékenységek
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
CVE-2024-51818 – Fancy Product Designer SQL injection sérülékenysége
CVE-2024-51919 – Fancy Product Designer ellenőrizetlen fájlfeltöltési sérülékenysége
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »