SlemBunk: malware para bancos se dissemina no mundo


Outro Malware específico para ataques a Bancos está se disseminando rapidamente em todo o mundo, de acordo com a FireEye, empresa especializada em investigação de segurança digital.

SlemBunk: malware para bancos se dissemina no mundo

Não tenho notícia de algum ataque bem sucedido aqui no Brasil - até porque as instituições brasileiras têm o péssimo hábito de não divulgar e alertar os usuários sobre isso.

Mas posso afirmar que o risco existe e é real. Portanto, todo cuidado é pouco: evite instalar aplicativos desconhecidos ou altamente populares em seu smartphone, caso ele seja utilizado para acesso ao seu Banco.

  O "SlemBunk" foi analisado pela primeira vez pela FireEye em meados de dezembro. A empresa de segurança observou na época que tinha identificado 170 amostras SlemBunk projetadas para direcionar os usuários de 33 aplicações oferecidas por instituições financeiras e prestadores de serviços na América do Norte, Europa e região da Ásia-Pacífico.

Mascote do Suporte Ninja
Se gostou da nossa iniciativa comente, curta ou compartilhe! Esse estímulo é muito importante para a nossa equipe e reflete diretamente na possibilidade de trazermos mais conteúdos que você venha a gostar!


Continuando...

Os aplicativos que escondem o cavalo de Tróia são distribuídos através de sites maliciosos e de conteúdo adulto, disfarçado como aplicativos legítimos, como o Adobe Flash Player. Uma vez que infecta um dispositivo Android, o Trojan monitora os processos em execução (programas em uso) e quando um processo associado a um aplicativo alvo é detectado, ele exibe uma página de phishing personalizado projetado para enganar a vítima a entregar informações confidenciais.

A FireEye revelou agora que a cadeia de infecção do SlemBunk é maior do que inicialmente se acreditava. Na primeira fase, quando a vítima visita um dos sites controlados pelos atacantes, umdrive-by download é iniciado e o aplicativo SlemBunk é instalado/baixado através de um sistema "conta-gotas" - um download em parcelas diminutas e com capacidade de continuar de onde parou, caso o dispositivo seja desligado.

A FireEye observou que esse mecanismo faz com que seja mais difícil para os especialistas traçar ataques de volta à sua origem (trace-back), permitindo que o Malware seja instalado de forma mais persistente no dispositivo da vítima. Ou seja, mesmo que seja desinstalado, o processo volta a ocorrer indefinidamente. Os pesquisadores ainda identificaram vários domínios C&C (comando-e-controle) registrados em várias datas em 2015.

A forma como a infra-estrutura de C&C é criada permite ao malware  evoluir para formas diferentes, adaptando-se a qualquer mecanismo de defesa que seja criado e instalado no smartphone. Um verdadeiro "malware-update", semelhante ao que fazem os melhores programas e sistemas operacionais.

Por David B.Svaiter via Blog do Cifra-Extrema


Inglês

FireEye mobile researchers recently identified a series of Android trojan apps that are designed to imitate the legitimate apps of 33 financial management institutions and service providers across the globe. We dub the family “SlemBunk,” and have seen it covering three major continents: North America, Europe, and Asia Pacific.

SlemBunk apps masquerade as common, popular applications and stay incognito after running for the first time. They have the ability to phish for and harvest authentication credentials when specified banking and other similar apps are launched. At the time of this writing, we can confirm that a set of the control servers gathering gleaned credentials is still live and active.

We have not observed any instances of SlemBunk on Google Play, so users will only get infected if the malware is sideloaded or downloaded from a malicious website. Newer versions of SlemBunk were observed being distributed via porn websites. Users who visit these sites are incessantly prompted to download an Adobe Flash update to view the porn, and doing so downloads the malware.

  • Our comprehensive investigation of SlemBunk has led to the identification of more than 170 samples in the wild. These SlemBunk samples exhibit a range of characteristics and behaviors, including:
  • Highly customized login UI for a variety of financial management services such as high profile banks;
  • Running in the background and monitoring the active running processes;
  • Detecting the launch of specified legitimate apps and intelligently displaying corresponding fake login interfaces;
  • Hijacking user credentials and transmitting to a remote command and control (CnC) server;
  • Harvesting and exfiltrating sensitive device information to the CnC servers including phone number, installed app list, device model, OS version;
  • Receiving and executing remote commands sent through text messages and network traffic;
  • Persisting on the infected device via device administrator privilege.

Our in-depth analysis into the full set of samples provides more insights into this malware family. Since its debut, SlemBunk has gone through several iterations, with each one raising the bar of sophistication by adding more advanced capabilities. Based on our examination of SlemBunk over time, we observed the following developments:

Advanced features are added to support more remote control commands;

  • Remote CnC servers keep changing among samples;
  • More financial services apps are added into the list, with new UI and their corresponding logic;
  • Different levels of obfuscation mechanisms are adopted to avoid detection.

Through our investigation, we have discovered SlemBunk spoofing the apps of 31 banks across the globe – some of which are among the biggest banks in the world – as well as users of two popular mobile payment service provider apps.

While financial gain is the primary goal of this malware, SlemBunk is also interested in user data. This is reflected by its attempt to hijack the login credentials of high profile Android applications, including popular social media apps, utility apps instant messaging apps.

Technical Details

The remainder of this blog presents the technical and operational aspects of this malware in greater detail.

Major Components

The core objective of SlemBunk is to phish for authentication credentials – primarily for financial institutions – by pushing a fake login interface when a specified app is running in the foreground. Figure 1 – the Manifest file from one of the non-obfuscated samples with package name "org.slempo.service" – shows an overview of the main components of SlemBunk.

  • ServiceStarter: An Android receiver that will be invoked once an app is launched or the device boots up. Its functionality is to start the monitoring service, MainService, in the background.
  • MainService: An Android service that runs in the background and monitors all running processes on the device. It prompts the user with an overlay view that resembles the legitimate app when that app is launched. This monitoring service also communicates with a remote host by sending the initial device data, notifying of device status and app preferences.
  • MessageReceiver: An Android receiver that handles incoming text messages. In addition to the functionality of intercepting the authentication code from the bank, this component also acts as the bot client for remote command and control.
  • activities/Card: One UI view designed to mimic those of the targeted apps.
  • MyDeviceAdminReceiver: Device admin functionality requested the first time this app is launched. This makes the app more difficult to remove.

SlemBunk: malware para bancos se dissemina no mundo

 Figure 1. SlemBunk main components

Figure 2 offers a glance into the execution flow of the malware. When the app is launched for the first time, it activates the registered receiver, which subsequently starts the monitoring service in the background. On the surface it pops up a fake UI claiming to be Adobe Flash Player, or other advertised applications, and requests to be the device admin. Upon being granted admin privileges, it removes its icon from the launcher and remains running in the background. A corresponding UI requesting for authentication credentials shows up when one of the specified apps is detected running in the foreground.

Targeted App Detection & Interface Overlay

SlemBunk employs a long running service in the background (MainService), which schedules a few tasks. One of the tasks is to query all the running processes and check if any of the specified apps are running in the foreground. The detection of a legitimate app is as simple as comparing the package name of the top running app to that of a specified app.

We noticed the SlemBunk authors have invested time in making sure that the look and feel of the phishing UI closely resembles that of the original. In some instances, the phishing interface requests that the user type in their credentials twice rather than once. It also forces the user to go through a fake verification process, which we suspect is to increase the user’s confidence in its authenticity.

Remote Communication

SlemBunk utilizes a simple yet effective remote communication mechanism that enables a server to command and control theinstalled malware. We identified two ways a SlemBunk sample communicates with its control server:

  • HTTP: Many of the remote server IPs are hardcoded in the source code for early developed samples. For newer samples, SlemBunk authors used basic Base64 encoding in the hope of fending off reverse engineering. Figure 3 shows a short snippet of code that decodes the encoded data.

There are primarily three requests from the client to the server:

  • Initial Checkin: this request informs the server about successful installation and running, with device data being uploaded to the server. That data includes device model, OS version, phone number, app list, and country name.

Evolution of the Family

SlemBunk has evolved throughout time. The earliest samples mainly target users of popular social networking apps, but later samples started to be more focused on defrauding users of financial services apps, with a clear objective on financial gain. Among all the specified apps, we have observed that banks in Australia are among SlemBunk’s favorites, with banks in the U.S. coming in second.

As SlemBunk expands its coverage of banks, its code has also become more sophisticated. Notably, later samples utilize different techniques to obscure potential reverse engineering. Figure 4 shows an obscured string that is Base64 encoded. In a few cases, SlemBunk authors took advantage of a commercial packer, DexProtector, which was designed to protect apps from being pirated. However, when used by a malicious application, it raises the difficulty for the analysis process.

Conclusion

The rise and evolution of the SlemBunk trojan clearly indicates that mobile malware has become more sophisticated and targeted, and involves more organized efforts. We have already seen crackdowns on malware campaigns targeting mobile banking users [1, 2], but we do not expect this type of activity to go away anytime soon. To protect yourself from these threats, FireEye suggests that you:

  • Do not install apps outside the official app store.
  • Keep Android devices updated. (Upgrading to the latest version of OS will provide some security, but it does not guarantee that you will remain protected.)

To detect and defend against such attacks, we advise our customers to deploy our mobile security solution, FireEye MTP/MSM. This helps our clients gain visibility into threats in their user base, and also enables them to proactively hunt down devices that have been compromised. In addition, we advise our customers with NX appliances to ensure that Wi-Fi traffic is scanned by NX appliances to extend coverage to mobile devices.

[1]http://blog.trendmicro.com/trendlabs-security-intelligence/malware-campaign-targets-south-korean-banks-uses-pinterest-as-cc-channel/

[2]http://www.symantec.com/connect/blogs/android-banking-trojan-delivers-customized-phishing-pages-straight-cloud

Appendix A: List of the Control Commands Delivered via SMS

  • #block_numbers
  • #control_number
  • #disable_forward_calls
  • #intercept_sms_start
  • intercept_sms_stop
  • #lock
  • unblock_all_numbers
  • unblock_numbers
  • unlock
  • update_html
  • wipe_data
  • check
  • #check_gps
  • control_number
  • grab_apps
  • #listen_sms_start
  • listen_sms_stop
  • #sentid
  • show_dialog
  • #show_html

<


Curta Suporte Ninja no Facebook


Entre no Grupo do Suporte Ninja no Facebook:






O Suporte Ninja disponibiliza espaço no site para que qualquer pessoa que queira contribuir com nosso ideal de produzir, coletar e divulgar informação tentando disponibilizar de forma gratuita material complementar para uma melhor formação profissional em TI, buscamos uma maior conscientização sobre tecnologias sustentáveis além de fornecer dicas que possam otimizar a experiência online dos usuários, seja na produtividade ou na segurança da informação.


No Suporte Ninja procuramos nos manter em um ponto de vista neutro e buscamos respeitar a diversidade de opiniões, todas as informações acima são de responsabilidade do autor e suas fontes, e estão sujeitas a alterações sem aviso prévio.


Mascote do Suporte Ninja
Se gostou da nossa iniciativa comente, curta ou compartilhe! Esse estímulo é muito importante para a nossa equipe e reflete diretamente na possibilidade de trazermos maisconteúdos que você venha a gostar!

Esperamos que tenha sido útil...

Se encontrar algo errado com o site não esqueça que o Site é nosso... <br> Se você quiser perguntar ou sugerir algo para nossa equipe use este link! ou Clique aqui para enviar sua postagem:


Começe a testar Grátis as ferramentas em nuvem do Google
Teste o Google Apps For Work com os cupons do Suporte Ninja e garanta um desconto de $10 Dólares para comprar no Google For Work…

"AE3NNJ6KXTHJ6V" & "6W7NGXXAV7JNVC"


Ou use o  CUPON de desconto do Suporte Ninja T3HJ6JDJKCLRRQH e você vai ganhar um desconto de 20% no Google For Works 🙂


Quebrando criptografia através das Paredes

Quebrando criptografia através das Paredes

Quebrando criptografia através das Paredes Este artigo demonstra ao público em geral que existem formas de ataque que podem ser feitas aos algoritmos criptográficos que fogem do ...
Leia Mais
Windows 10 te espiona mesmo desabilitando a telemetria

Windows 10 te espiona mesmo desabilitando a telemetria

Há algum tempo atrás postei em nosso grupo do Linked-IN (Criptografia Brasil) vários artigos sobre o fato do Windows 10 espionar dados de usuário - e até Leia Mais
Microsoft disponibiliza aulas de programação de graça

Microsoft disponibiliza aulas de programação de graça

Microsoft disponibiliza cursos de programação de graça A Microsoft disponibilizou as aulas no site com todo o conteúdo das aulas de programação dos cursos oferecidos na Semana do ...
Leia Mais
Rússia quer banir o Windows para incentivar mercado de software local

Rússia quer banir o Windows para incentivar mercado de software local

Uma decisão bastante controversa, mas ao mesmo tempo totalmente esperada, pode acabar entrando em vigor na Rússia pelas mãos do consultor nacional para a internet German Klimenko. Em ...
Leia Mais
Como fazer uma limpeza profunda em sistemas Debian e derivados

Como fazer uma limpeza profunda em sistemas Debian e derivados

Muitos usuários do sistema operacional Linux e até Admins de distros voltadas para servidores acreditam que a manutenção do linux se baseia apenas em alguns apt-gets update e upgrades durante ...
Leia Mais
100 comandos importantes do Linux

100 comandos importantes do Linux

Resumo de 100 Comandos Importantes Linux Veja neste artigo uma lista dos comandos mais importantes do linux e uma breve explicação de cada um deles. Lista de ...
Leia Mais
ONU reabre inscrições para curso técnico gratuito em energias renováveis

ONU reabre inscrições para curso técnico gratuito em energias renováveis

ONU reabre inscrições para curso técnico gratuito em energias renováveis A formação permite que os alunos sejam capazes de desenvolver projetos de energia renovável. O curso ...
Leia Mais
Sua Smart TV pode estar risco de segurança

Sua Smart TV pode estar risco de segurança

As Smart-TV´s rodando o sistema operacional Android fornecem funcionalidades adicionais aos usuários, além de TVs normais, mas também criam um risco de segurança, conforme a Trend Micro revela. Leia Mais
Os melhores Apps de Smartphone para aprender programação

Os melhores Apps de Smartphone para aprender a programar

A partir de agora use o seu tempo livre no ônibus, faculdade ou ate mesmo em seu trabalho para aprender novas linguagens. Chega de conversa e vamos lá. Leia Mais
Os 2 Melhores Cursos gratuitos de Arduino

Os 2 Melhores Cursos gratuitos de Arduino

O Suporte Ninja encontrou dois ótimos cursos gratuitos de Arduino (O curso de Android do Laboratório de Garagem e o curso da Pictronics onde você aprende mais sobre eletrônica e ...
Leia Mais
74% dos internautas não sabem diferenciar arquivos maliciosos como iriam diferenciar uma VPN boa de uma Maliciosa?

74% dos internautas não sabem diferenciar arquivos maliciosos como iriam diferenciar uma VPN boa de uma Maliciosa?

74% dos internautas não sabem diferenciar arquivos maliciosos 74% dos internautas não sabem detectar arquivos potencialmente maliciosos de arquivos confiáveis, vamos explicar com calma a polemica das ...
Leia Mais
Caixas-Pretas de navios e aviões podem ser Hackeadas?

Caixas-Pretas de navios e aviões podem ser Hackeadas

As caixas-pretas utilizadas para registro de dados em navios e aviões possuem diversas vulnerabilidades que permitem um atacante modificar ou apagar os dados presentes nestes dispositivos Leia Mais
Conheça CIFRA EXTREMA: Um criptografador realmente seguro e 100% nacional

CIFRA EXTREMA: Um criptografador realmente seguro e 100% nacional

Conheça a alternativa brasileira do mundo da criptografia que esta dando um banho nos concorrentes internacionais, CIFRA EXTREMA criptografador realmente seguro e 100% nacional: Algoritmo 100% nacional ...
Leia Mais
Minicurso de Google Analytics com certificado Gratuito

Minicurso de Google Analytics com certificado Gratuito

Curso online com certificado 100% grátis: O guia completo do Google Analytics Princípios básicos e avançados para se medir e gerar resultados. Entenda a importância de conhecer e ...
Leia Mais
Curso-Gratuito-HTML5-1

Curso de HTML5 – Grátis, Completo e Com Certificado reconhecido pelo MEC

Curso de HTML5 – Grátis, Completo e Com Certificado reconhecido pelo MEC! Curso completo para quem quer aprender a criar sites utilizando as tecnologias de HTML5 + CSS3 ...
Leia Mais
Tablets com malware instalado de fábrica na Amazon e outras lojas...

Tablets com malware instalado de fábrica na Amazon e outras lojas...

Cheetah Mobile, uma empresa de segurança para dispositivos móveis, mostrou nesta semana que pelo menos 30 marcas diferentes de tablets com Android vendidos na Amazon e outras lojas ...
Leia Mais
Video Aula - Curso Completo de programação em C

Video Aula - Curso de Introdução a programação em C

Video Aula - Curso Introdução a programação em C: Se você conhece alguma coisa de programação, já deve ter ouvido falar na linguagem C. As principais características da ...
Leia Mais
Curso gratuito de Python para Profissionais de Segurança da Informação.

Curso gratuito de Python para Profissionais de Segurança da Informação.

Curso gratuito de Python para Profissionais de Segurança da Informação. Não é necessário saber Python a partir de um nível de completo conhecimento linguagem de programação. (Curso é ...
Leia Mais
Cursos Gratuitos de (HTML, C#, Java e Android) para iniciantes

Cursos Gratuitos de (HTML, C#, Java e Android) para iniciantes

Formação Programação para iniciantes (HTML, C#, Java e Android) gratuita. Você que está iniciando no mundo de desenvolvimento e não sabe qual área irá iniciar, o DevMedia desenvolveu uma ...
Leia Mais
Curso gratuito de C ++ e com certificado de Desenvolvimento Orientado a Objeto

Curso gratuito de C ++ e com certificado de Desenvolvimento Orientado a Objeto

O objetivo deste curso é proporcionar ao aluno conhecimentos, competências e habilidades no desenvolvimento de aplicações em C ++, Curso gratuito e com certificado de C ++ de ...
Leia Mais
Starbug afirma e prova: Biometria é falha

Starbug afirma e prova: Biometria é falha

A coisa soa meio maluca, mas em tratando-se de Starbug, eu não riria... Starbug é o pseudônimo de Jan Krissler, um camarada prá lá de excêntrico, mas que ...
Leia Mais

David B. Svaiter

David B Svaiter é um especilista em programação .NET e em criptografia, mantendo o grupo CRIPTOGRAFIA BRASIL no Linked-IN/Brasil. Sócio na Lynchesvaiter Ltda e sócio-diretor (SCP) de S.I. & Criptografia da Big Blue Services Ltda, atua na área de segurança, criptografia e programação de software/hardware desde 1985 usando seu Apple ][.

Você pode gostar...