FireEye專家們最近發(fā)現(xiàn)SlemBunk再次進(jìn)化，這次它變身成了一個(gè)瞄準(zhǔn)全球手機(jī)銀行用戶的強(qiáng)大的Android木馬。

去年十二月，F(xiàn)ireEye安全專家首次發(fā)現(xiàn)Android銀行木馬SlemBunk，一開始還只是針對銀行用戶使用的手機(jī)，作為從第三方網(wǎng)站下載的合法銀行app的副本來迷惑用戶的雙眼。

它能夠監(jiān)視移動(dòng)設(shè)備上銀行app的執(zhí)行進(jìn)程。當(dāng)用戶啟動(dòng)這個(gè)app時(shí)惡意軟件就會向他提供一個(gè)假的用戶界面以誘騙用戶提供他們的憑據(jù)。

不過現(xiàn)在SlemBunk 的Android木馬變得更加復(fù)雜了，最近專家們注意到這個(gè)木馬更加隱蔽更加難以解決了。

FireEye的安全專家表示：

“由于SlemBunk擴(kuò)大了攻擊的銀行范圍，代碼也就變得更加復(fù)雜。而且，之后的版本還利用不同的技術(shù)掩蓋潛在的反向工程。下圖是一個(gè)Base64編碼的字符串。在一些情況下，SlemBunk的開發(fā)者會利用商業(yè)包裝——保護(hù)應(yīng)用程序不被盜版的DexProtector。那么那些使用了這個(gè)包裝的惡意軟件大大提升了分析的難度。”

專家們推測SlemBunk的進(jìn)化之快可能源于組織性的犯罪。

“SlemBunk木馬的興起和發(fā)展清楚地表明著手機(jī)惡意軟件變得越來越復(fù)雜越來越有針對性，這一定是團(tuán)體協(xié)作出來的成果。”

這個(gè)安卓木馬背后的組織已經(jīng)將至少31個(gè)不同的銀行目標(biāo)和2個(gè)移動(dòng)支付服務(wù)供應(yīng)商作為惡意軟件的目標(biāo)。

現(xiàn)在這個(gè)FireEye檢測到的最新變種是通過驅(qū)動(dòng)下載入侵到手機(jī)里，這次它將目標(biāo)指向了那些訪問色情網(wǎng)站并下載的用戶。

“我們還沒有在Google Play上發(fā)現(xiàn)任何SlemBunk實(shí)例，因此用戶只會在惡意網(wǎng)站上下載軟件的時(shí)候會被感染。新版本的SlemBunk通過向色情網(wǎng)站的用戶頻繁彈送下載一個(gè)Adobe Flash以查閱更多色情圖片視頻的提示，讓用戶下載惡意軟件。”

攻擊者就是誘使粗心的用戶安裝這個(gè)聲稱是Flash更新的假app。SlemBunk通過一個(gè)隱形多級機(jī)制被下載到設(shè)備中，在第一階段中下載的APK并不會包含任何為避免觸發(fā)在設(shè)備上安裝的安全解決方案而設(shè)置的惡意功能。

但是其中的“dropper”app隱藏了一些功能，它在下載過程中產(chǎn)生代碼并本地保存到其他臨時(shí)的APK中on個(gè)。之后，第二個(gè)APK文件由dropper動(dòng)態(tài)加載到內(nèi)存中并從文件系統(tǒng)中刪除出去。于是，第二個(gè)APK就成為了最終的惡意有效負(fù)載。

FireEye表示：

“即使檢測到并刪除了SlemBunk負(fù)載的惡意行動(dòng)，那個(gè)下載器也會定期在設(shè)備里重新下載那個(gè)有效負(fù)載。”

為了保護(hù)您的設(shè)備免受這種威脅，F(xiàn)ireEye建議你：

不要從第三方應(yīng)用商店安裝app。

保證安卓設(shè)備更新。