Összefoglaló
A FireEye kutatói számos olyan Android trójai alkalmazást fedeztek fel ami legitim alkalmazásokat imitál, beleértve 33 pénzügyi intézmény és szolgáltató alkalmazását, és két népszerű internetes fizetési alkalmazást is. A kártevő családot „SlemBunk”-nak nevezték el, és három kontinensen érzékelték: Észak Amerika, Európa és Ázsia.
Leírás
Az alkalmazás nem került fel a GooglePlay áruházba, tehát csak azok a felhasználók fertőződhetnek meg, akik külső forrásból telepítették. A kártevő újabb variánsai felnőtt weboldalak látogatóit fertőzik meg úgy, hogy a videók megnézéséhez az Adobe Flash frissítését kezdeményezi. A kártevőnek körülbelül 170 mintáját találták meg a világhálón, és ezeknek az alkalmazásoknak az alábbi jellemzőit gyűjtötték össze:
- Magas minőségben összeállított bejelentkezési felhasználói felület a pénzügyi szervezetek szolgáltatásaihoz.
- A háttérben fut, és monitorozza az aktív folyamatokat
- Érzékeli hogy a felhasználó bizonyos alkalmazásokat elindít, majd a saját hamis bejelentkező oldalát mutatja
- Megszerzi a felhasználó bejelentkezési adatait, majd elküldi azokat egy C&C vezérlőszerverre
- Megszerzi az eszköz bizalmas információit (pl: telefonszám, telepített alkalmazások, eszköz típusa, OS verzió)
- Képes fogadni távoli parancsokat SMS üzeneteken, és hálózati forgalmon keresztül
- A fertőzött eszközön, eszköz adminisztrációs jogosultságot szerez
- Képes új parancsok feldolgozását megtanulni
- A távoli C&C szerverek folyamatosan változnak
- Bővíthető további pénzügyi szervezetek bejelentkező oldalaival
- Különböző mechanizmusok segítségével képes elkerülni hogy felfedeződjön
Megoldás
- Ne telepítsen külső forrásból érkező alkalmazásokat, kizárólag a Play Áruházat használja
- Tartsa naprakészen az eszközét a legfrisebb andoid verzióval, melyek folyamatosan bővülnek új biztonsági funkciókkal.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.fireeye.com