El troyano SlemBunk que se dirige a los usuarios bancarios de Android se vuelve más sofisticado

dyre-trojan

La firma de seguridad FireEye reveló en diciembre los detalles de un troyano que se ha utilizado para atacar a los usuarios de aplicaciones de banca móvil. Los investigadores ahora han descubierto que el troyano se ha vuelto más sofisticado y difícil de detectar.

Los investigadores de seguridad creen que un grupo bien organizado de atacantes ha transformado al troyano en una mayor sofisticación como parte de su esfuerzo por ampliar el alcance de su campaña maliciosa. Llamado SlemBunk, el troyano está diseñado para mostrar una interfaz de usuario falsa en la pantalla del dispositivo después de que el software malintencionado detecta una aplicación de banca móvil en ejecución.

dyre-trojan

Los usuarios desprevenidos son las víctimas más probables de este tipo de esquema. El troyano puede simular las interfaces de usuario de las aplicaciones móviles creadas por más de 30 bancos en todo el mundo, y el primer grupo del troyano se difunde como copias falsas de las aplicaciones de banca móvil a través de varias tiendas de aplicaciones de terceros.

Eso significa que no encontrará las aplicaciones en Google Play Store y Apple App Store. Entonces, básicamente, solo los dispositivos móviles que han sido rooteados o liberados son los objetivos fáciles de SlemBunk porque esos dispositivos están configurados para instalar aplicaciones descargadas de tiendas de aplicaciones de terceros.

Más específicamente, los atacantes utilizan las técnicas de descarga no autorizada para distribuir las nuevas versiones del troyano. Los usuarios que visitan sitios de pornografía son los objetivos principales. Cuando abren un sitio pornográfico, reciben una notificación que les avisa para que descarguen las actualizaciones para su Flash Player y una interfaz de programación de aplicaciones para ver el video.

Los usuarios sin conocimientos técnicos sobre qué y cómo se implementa una actualización legítima de Flash ciertamente creerán que están descargando la actualización genuina solo para poder ver el video más tarde, sin tener en cuenta el riesgo que conlleva.

El escáner de aplicaciones nativas integrado en Android e incluso otras aplicaciones antivirus legítimas tendrán dificultades para detectar el APK que viene con la primera descarga porque no contiene componentes maliciosos ni manifiesta signos de actividad maliciosa.

El troyano oculta sus características que producen código y lo almacenan en otro APK dentro del dispositivo. Luego, la primera aplicación carga el segundo APK en la memoria y luego se elimina del sistema de archivos. El segundo APK, aunque tampoco muestra ninguna actividad maliciosa, contiene la carga útil maliciosa.

El propósito de tener una capa de pasos para el ataque es hacer que el ataque sea difícil de detectar y que se vuelva más persistente, porque el descargador siempre encontrará una manera de descargar la carga útil de regreso al dispositivo.

0 Shares