Банковский Android-троян SlemBunk продолжает эволюционировать

Банковский Android-троян SlemBunk продолжает эволюционировать

Вредонос разработан для атак на пользователей 33 финансовых приложений от сервис-провайдеров по всему миру.

В декабре прошлого года эксперты FireEye сообщили о продолжающейся вредоносной кампании с использованием банковского Android-трояна SlemBunk, распространяемого через вредоносные ресурсы и сайты с контентом «для взрослых». Троянские программы маскируются под легитимные приложения наподобие Adobe Flash Player, и перехватывают конфиденциальные данные пользователей.

Специалисты выявили 170 образцов вредоноса, разработанного для атак на пользователей 33 финансовых приложений от банков и сервис-провайдеров из Северной Америки, Европы и Азиатско-Тихоокеанского региона.

Как показал анализ вредоносной кампании, троян SlemBunk использует больше механизмов доставки полезной нагрузки, чем предполагалось ранее. На первом этапе при посещении жертвой подконтрольного злоумышленникам web-сайта на компьютер загружается дроппер. Затем дроппер распаковывает троян-загрузчик. На завершающем этапе последний отправляет запрос на C&C-сервер злоумышленников и загружает полезную нагрузку.

По словам экспертов, вредоносная кампания хорошо организована и продолжает развиваться. Помимо прочего, злоумышленники могут изменять способ, используемый загрузчиком для доставки финальной полезной нагрузки.

Исследователи обнаружили несколько C&C-доменов, зарегистрированных в разные периоды 2015 года. Как позволяет предположить анализ используемой Android-трояном C&C-инфраструктуры, в будущем вредоносная кампания может принимать иные формы.

В январе нынешнего года ИБ-компания Symantec сообщила о всплеске активности другого банковского Android-трояна Bankosy, способного похищать коды двухфакторной аутентификации.


Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену