SlemBunk Android trójai


2015. december 18. 09:48

CH azonosító

CH-12872

Angol cím

Android trojan:SlemBunk

Felfedezés dátuma

2015.12.16.

Súlyosság

Közepes

Érintett rendszerek

Android
Google

Érintett verziók

Android

Összefoglaló

A FireEye kutatói számos olyan Android trójai alkalmazást fedeztek fel ami legitim alkalmazásokat imitál, beleértve 33 pénzügyi intézmény és szolgáltató alkalmazását, és két népszerű internetes fizetési alkalmazást is. A kártevő családot „SlemBunk”-nak nevezték el, és három kontinensen érzékelték: Észak Amerika, Európa és Ázsia.

Leírás

Az alkalmazás nem került fel a GooglePlay áruházba, tehát csak azok a felhasználók fertőződhetnek meg, akik külső forrásból telepítették. A kártevő újabb variánsai felnőtt weboldalak látogatóit fertőzik meg úgy, hogy a videók megnézéséhez az Adobe Flash frissítését kezdeményezi. A kártevőnek körülbelül 170 mintáját találták meg a világhálón, és ezeknek az alkalmazásoknak az alábbi jellemzőit gyűjtötték össze:

  • Magas minőségben összeállított bejelentkezési felhasználói felület a pénzügyi szervezetek szolgáltatásaihoz.
  • A háttérben fut, és monitorozza az aktív folyamatokat
  • Érzékeli hogy a felhasználó bizonyos alkalmazásokat elindít, majd a saját hamis bejelentkező oldalát mutatja
  • Megszerzi a felhasználó bejelentkezési adatait, majd elküldi azokat egy C&C vezérlőszerverre
  • Megszerzi az eszköz bizalmas információit (pl: telefonszám, telepített alkalmazások, eszköz típusa, OS verzió)
  • Képes fogadni távoli parancsokat SMS üzeneteken, és hálózati forgalmon keresztül
  • A fertőzött eszközön, eszköz adminisztrációs jogosultságot szerez
  • Képes új parancsok feldolgozását megtanulni
  • A távoli C&C szerverek folyamatosan változnak
  • Bővíthető további pénzügyi szervezetek bejelentkező oldalaival
  • Különböző mechanizmusok segítségével képes elkerülni hogy felfedeződjön

Megoldás

  • Ne telepítsen külső forrásból érkező alkalmazásokat, kizárólag a Play Áruházat használja
  • Tartsa naprakészen az eszközét a legfrisebb andoid verzióval, melyek folyamatosan bővülnek új biztonsági funkciókkal.

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.fireeye.com

Legfrissebb sérülékenységek
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »