Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

SlemBunk: un nuovo trojan Android colpisce app bancarie

SlemBunk  trojan   venerdì, 18 dicembre 2015

Malware AndroidI ricercatori di FireEye specializzati in sicurezza dei dispositivi mobili hanno recentemente identificato una serie di app malevole per Android contenenti un trojan, progettate per imitare le app legittime di più di 30 istituti bancari e fornitori di servizi finanziari sparsi in tutto il mondo.

Questa nuova famiglia di trojan, battezzata SlemBunk, colpisce prevalentemente in tre aree geografiche: Nord America, Europa e Asia-Pacifico.

FireEye ha identificato più di 170 esemplari di SlemBunk in-the-wild. Attualmente il malware può infettare un dispositivo solo tramite installazione diretta o mediante download da siti Web malevoli. Stando a quanto riportato da FireEye, le varianti più recenti di SlemBunk vengono distribuite tramite siti per adulti, sotto forma di falsi aggiornamenti di Adobe Flash.

Le caratteristiche principali di SlemBunk sono le seguenti:

  • implementa interfacce d’utente personalizzate per l’ accesso ad una vasta gamma di servizi di gestione finanziaria, tra cui banche di alto profilo;
  • rimane in esecuzione in background e monitora i processi in esecuzione;
  • individua il lancio di specifiche applicazioni legittime e visualizza la corrispondente interfaccia d’accesso falsa;
  • ruba le credenziali dell’utente e le trasmette ad un server remoto di Comando e Controllo (C&C);
  • raccoglie informazioni sul dispositivo, tra cui il numero di telefono, l’elenco delle applicazioni installate, il modello del dispositivo e la versione del sistema operativo, e le invia ai server C&C;
  • riceve ed esegue comandi inviati da remoto via rete e tramite messaggi di testo (SMS);
  • si installa in maniera persistente sul dispositivo infetto sfruttando i privilegi di amministratore.

SlemBunk è un malware in continuo sviluppo e diviene sempre più sofisticato ad ogni nuova variante, con l’aggiunta di funzionalità più avanzate. FireEye ha osservato nel tempo i seguenti sviluppi:

  • supporto per nuovi comandi remoti;
  • variazione degli indirizzi dei server C&C ad ogni iterazione;
  • aggiunta di interfacce per nuove app finanziarie;
  • livelli di offuscamento sempre più avanzati, allo scopo di evitare l’individuazione.

Stando a quanto riportato da FireEye, molti server C&C utilizzati da SlemBunk sono al momento ancora attivi.

L’obiettivo primario dei creatori di SlemBunk appare chiaramente il profitto, anche se i cyber-criminali sembrano molto interessati ai dati degli utenti: non solo credenziali di accesso di app bancarie, ma anche di altre popolari app per Android, tra cui applicazioni di social media, utilità e messaggistica istantanea.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di evitare di scaricare app dagli store non ufficiali e di non istallare mai direttamente pacchetti APK (Android Package).


Android è un marchio di Google Inc. Il robot Android è riprodotto o modificato dal lavoro creato e condiviso da Google e utilizzato nel rispetto dei termini descritti nella licenza Creative Commons Attribuzione 3.0.

Notizie correlate

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

13 novembre 2018

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala del trojan bancario Emotet tramite Email fraudolente, iniziata il 5 novembre 2018.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Scoperta variante del ransomware Rakhni con capacità di miner

6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni che introduce una funzionalità per il mining di criptovalute.Leggi tutto