نماد سایت اتاق خبر شبکه گستر

کاربران برنامک های بانکی، هدف بدافزار پیشرفته SlemBunk

به گزارش شرکت مهندسی شبکه گستر، در 26 آذر، شرکت FireEye در مقاله ای به بررسی بدافزاری با نام SlemBunk پرداخت که با آلوده کردن دستگاه های با سیستم عامل اندروید اقدام به سرقت اطلاعات اصالت سنجی کاربران 33 برنامک بانکی می کند.

SlemBunk با رصد پروسه های دستگاه، بمحض اجرای پروسه مربوط به هر یک از این 33 برنامک، یک رابط کاربری جعلی اما مشابه رابط واقعی آن برنامک را نمایش می دهد و در صورتی که کاربر اطلاعات اصالت سنجی بانکی خود را در آن رابط جعلی وارد کند، جزییات آن به سرور فرماندهی گردانندگان این بدافزار ارسال می شود.

گونه های اولیه SlemBunk در قالب برنامک های معروف و پراستفاده در بازارهای توزیع دیجیتال به اشتراک گذاشته می شدند.

در آن زمان FireEye که موفق به کشف بیش از 170 نمونه از SlemBunk شده بود اعلام کرد که هیچ برنامک آلوده به این بدافزار را بر روی Google Play شناسایی نکرده است. بنابراین دستگاه هایی که بنحوی پیکربندی شده بودند که تنها به برنامک های توزیع شده بر روی Google Play مجوز نصب می دادند از گزند SlemBunk مصون می ماندند.

در مقاله دیگری که بتازگی توسط FireEye منتشر شده، این شرکت جزییات بیشتری در خصوص گونه های جدیدتر این بدافزار ارائه کرده است.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت FireEye، گونه های جدید SlemBunk بصورت دانلودهای سر راهی (Drive-by Download) از طریق برخی سایت های غیر اخلاقی منتشر می شوند. بدین ترتیب که زمانی که کاربر با دستگاهی با یکی از نسخه های بالاتر از 2 اندروید به این سایت ها مراجعه می کند کد مخرب تزریق شده در سایت در پیامی به کاربر اینطور القا می کند که برای مشاهده محتوا نیاز به به روز رسانی Flash Player داشته و برای این منظور باید فایل APK پیشنهاد شده را نصب کند.

این در حالی است که فایل APK با بهره گیری از روش های Packing عملکرد مخرب خود را از دید ضدویروس مخفی می کند. این فایل پس از ذخیره کدها در یک فایل APK دیگر و فراخوانی آن در حافظه، خود را از روی دستگاه حذف می کند. فایل دوم نیز با برقراری ارتباط با سرور فرماندهای اقدام به دریافت فایل نصبی SlemBunk می کند.

در این زنجیره دو APK اول فاقد کدهای در ظاهر مخرب هستند و هدف از این تکنیک دشوار کردن فرآیند شناسایی است. حتی اگر ضدویروس بر روی دستگاه SlemBunk را حذف کند دانلود کننده دوم همچنان قادر است که نسخه ای جدید از بدافزار را از سرور فرماندهی دریافت کند.

FireEye این حمله را “بخوبی سازماندهی شده و در حال تکامل” توصیف کرده است.

توضیح اینکه نرم افزار Bitdefender GravityZone Security for Mobile گونه های اولیه این بدافزار را با نام Android.Trojan.SLocker.K و گونه های جدیدتر آن را با عنوان Android.Trojan.SLocker.GC شناسایی و پاکسازی می کند.

خروج از نسخه موبایل