Nova versão do vírus prolonga ataques em série com campanha melhor organizada
A FireEye, Inc. (NASDAQ: FEYE), empresa global de segurança avançada de TI que proporciona proteção dinâmica contra ameaças em tempo real, identificou em 2015 o SlemBunk, um vírus cavalo de Troia que ataca aplicativos bancários em dispositivos com sistema Android. Em uma nova investigação, a equipe descobriu que o malware está mais resistente, o que o torna ainda mais perigoso, além de ser utilizado como parte de uma ação maior e em processo de evolução.
Ainda na primeira pesquisa, comprovou-se que um grupo de vírus cavalo de Troia tentava roubar as credenciais de login dos usuários de aplicativos bancários no Android, conhecidos como banking apps, por meio de aplicativos disfarçados. Funciona assim: esses aplicativos maliciosos têm a capacidade de obter informações pessoais e credenciais de autenticação quando os aplicativos originais especificados são registrados. Nesta abordagem inicial, foram identificadas mais de 170 amostras SlemBunk, que tiveram como alvo usuários de 33 aplicativos bancários, principalmente em países da América do Norte, Europa e Ásia-Pacífico.
Ao roubar as credenciais do usuário, o vírus se comunica com o servidor de controle e comando (CNC) e realiza diversas atividades. Downloads feitos por meio de sites de pornografia também funcionam como mecanismo de distribuição do corpo de dados do SlemBunk.
Após esta segunda e mais profunda análise, os especialistas da FireEye notaram uma cadeia de ataque prolongado. Isso significa que antes de acionar o corpo de dados e atacar, um pacote de até três aplicativos (dropper, downloader, payload) precisam ser instalados no dispositivo, o que dificulta o trabalho dos analistas para traçar o caminho de volta do ataque à origem, além de o malware ter uma presença mais persistente no dispositivo infectado.
Com o estudo de códigos e acesso às mensagens, também foram identificadas diversas URLs de servidores de controle e comando, que tornam esta campanha organizada, personalizada e detentora de um painel de administração. O registro recorde de domínios relevantes sugeriu que esta seja uma ação recente e atuante em diversos formatos.
Download dirigido: o começo do SlemBunk – No início, o vírus era disseminado por cópias de aplicativos populares, como apps pornográficos e recursos básicos. Agora, chamado de aplicativo dropper, ele entra no dispositivo da vítima e inicia um ataque prolongado. Age da seguinte forma: um website pode funcionar como atalho de conteúdo adicional escondido. Se o site identifica que o acesso é feito de um dispositivo Android, logo sobe uma caixa de diálogo sugerindo a atualização do JavaScript. O usuário, por sua vez, aceita e, então, o dispositivo é infectado.
Isso é apenas a porta de entrada do SlemBunk, que neste momento não compromete totalmente o usuário. Porém, ao aceitar as próximas etapas, ele pode ter seus dados bancários comprometidos.
SlemBunk: como desvendar um download – O downloader é o segundo aplicativo na cadeia de ataque e seu principal objetivo é infectar com o corpo de dados do SlemBunk para furtar os dados bancários das vítimas. Porém, não é fácil identificar quando se sofre uma invasão desse tipo, já que o app é intencionalmente ofuscado e restam algumas identidades de interface do Android. Os códigos quando infectados são sutilmente alterados, e é necessária uma minuciosa busca para identificá-los.
Como flagrar a carga infectada – Nos dois primeiros casos apresentados, os aplicativos, embora maliciosos, não executam a ação pretendida: o roubo de dados bancários. Eles funcionam como canais para que a carga maliciosa final atue.
Além disso, também auxiliam os cyber atacantes a alcançar uma existência mais furtiva e persistente no dispositivo – uma vez que uma cadeia de ataques se torna muito mais difícil de ser rastreada por um analista. Outro ponto é que o app downloader é excluído do armazenamento depois de carregado e só persiste na memória. Por último, mesmo se detectado e removido, a ação maliciosa do corpo de dados do SlemBunk pode tentar baixá-lo novamente para o dispositivo.
Campanha melhor organizada – A utilização de um download dirigido para distribuição do corpo de dados do SlemBunk combinada com a comunicação pelo servidor CNC, sugerem a organização e evolução desta campanha viral.
Durante a investigação da FireEye, foram descobertos vários fatos. Em primeiro lugar, a interface administrativa hospedada no servidor CNC sugere que este é customizável e que a carga pode se adaptar facilmente, conforme as especificações do atacante. Outro fator é que as informações do cronograma para os domínios associados a este ataque mostraram que esta campanha é muito recente, e ainda está em curso. Além de provavelmente continuar a evoluir para diferentes formas. Toda a equipe de investigação móvel da FireEye irá manter um olhar atento sobre isso.
Confira investigação completa aqui.