. . .

En riesgo aplicaciones bancarias por virus SlemBunk, identificado por FireEye. Detectaron una campaña de ataques maliciosos contra usuarios de servicios bancarios

Ciudad de México, 29 de enero del 2016.— FireEye, Inc. (NASDAQ: FEYE), empresa global de seguridad avanzada de TI que proporciona protección dinámica contra amenazas en tiempo real, identificó en el 2015 a SlemBunk, un virus del tipo Caballo de Troya que ataca aplicaciones bancarias en dispositivos basados en sistema Android. En una reciente investigación, el equipo de especialistas de FireEye descubrió que el malware es aún más resistente que antes, lo que lo hace cada vez más peligroso, además de que se le utiliza como parte de una acción más grande en el proceso de ataques más evolucionados.

A partir de una primera encuesta conformar una investigación, FireEye encontró que un grupo de virus del tipo Caballo de Troya que funciona a través de aplicaciones encubiertas, intentó robar datos de identificación a usuarios de Android con acceso a aplicaciones de banca. Estas aplicaciones maliciosas tienen la capacidad de obtener información personal y autentificar claves de acceso cuando se registra alguna solicitud específica. En la investigación inicial de FireEye se identificaron más de 170 muestras del virus SlemBunk que han atacado a usuarios de 33 aplicaciones bancarias, especialmente en países de América del Norte, Europa y Asia Pacífico.

Para robar los datos de acceso del usuario, el virus se comunica con el servidor de comando y control para llevar a cabo diversas actividades dañinas. Cabe señalar que las descargas que se llevan a cabo a través de sitios de pornografía y también funcionan como un mecanismo de distribución que alimenta al cuerpo de datos de SlemBunk.

Después de un segundo y más profundo análisis, los expertos de FireEye observaron una cadena que estaba conformando un ataque prolongado. Esto significa que antes de comenzar a conformar un cuerpo de datos y atacar a un paquete de hasta tres aplicaciones (tipo gotero, downloader, carga útil) el agente malicioso debe estar instalado en el dispositivo, lo que complica el trabajo de los analistas para trazar el camino de regreso del ataque desde el origen, además de que encontraron que el malware tienen una presencia más persistente en el dispositivo infectado.

Al estudiar los códigos y la forma de acceso a los mensajes, también se identificaron varios servidores de control de URLs y comandos que permiten ver que se trata de una campaña organizada, personalizada y propietaria de un panel de administración. El registro récord de campos relevantes sugiere que se trata de una acción reciente y activa desarrollada en varios formatos.

Descargas de programas, el comienzo de SlemBunkAl principio, el virus se propaga por las copias de aplicaciones populares, tales como aplicaciones pornográficas y otras de tipo básico. Inicialmente conocidas como “aplicación gotero”, buscan entrar en el dispositivo de la víctima para iniciar un ataque sostenido. De esta forma, un sitio web puede funcionar conteniendo un atajo oculto adicional: Si el sitio identifica que el acceso se hace desde un dispositivo Android, a continuación un cuadro de diálogo sugiere la actualización de JavaScript, y si el usuario acepta, entonces el dispositivo quedará infectado.

Eso es sólo la puerta de entrada de SlemBunk, que al inicio no afecta mucho al usuario; el problema surge al aceptar los siguientes pasos y entonces el usuario corre el riesgo de comprometer sus datos bancarios.

SlemBunk: como descubrir una descarga La descarga representa la segunda etapa en la cadena de ataque y su principal objetivo es infectar con SlemBunk el cuerpo de datos para robar la información de las víctimas. Sin embargo, no es fácil de identificar cuando se sufre una invasión ya que la aplicación afecta de manera natural y solo deja algunas señales de identidad en Android. Los códigos, cuando están infectados, se ven alterados sutilmente y por ello se requiere de una búsqueda minuciosa para identificarlos.

Como mostrar una carga infectada – En algunos casos estudiados, como los relatados, las aplicaciones aunque son maliciosas, no llevan a cabo la acción deseada: el robo de datos bancarios. Más bien actúan como canales para concretar el acto malicioso definitivo.

Además, los atacantes cibernéticos también contribuyen a integrar una existencia más sigilosa y persistente del malware en el dispositivo una vez que una cadena de ataques se vuelve mucho más difícil de ser examinada por un analista. Otro punto de atención consiste en que una aplicación descargada se elimina de la tienda después de la carga y sólo persiste en la memoria. Por último, aunque sea detectada y eliminada, la acción maliciosa de SlemBunk en el cuerpo de datos, puede tratar de descargarlo de nuevo en el dispositivo

Campaña mejor organizada – El uso de una descarga dirigida a la distribución del cuerpo de datos por parte de SlemBunk, en combinación con la acción en el servidor de comunicación, sugieren la organización y la evolución de esta campaña viral.

Durante la investigación de FireEye, se descubrieron varios hechos. En primer lugar, la interfaz administrativa alojada en el servidor de comando y control sugiere que el ataque es personalizable y la descarga puede adaptarse fácilmente de acuerdo con las especificaciones programadas por el atacante. Otro factor es que la información de programación para los dominios asociados ha demostrado que esta campaña de ataques es muy reciente, y sigue en curso, además de que probablemente continuará evolucionando en diferentes formas. Al respecto, FireEye se ha comprometido a que todo su equipo de investigación especializado en dispositivos móviles mantendrá una estrecha vigilancia sobre el tema.

Consulta la investigación completa aquí.

Acerca de FireEye, Inc.

FireEye inventó una plataforma de seguridad basada en la máquina virtual construida especialmente para proporcionar una protección contra las amenazas en tiempo real a las empresas y gobiernos en todo el mundo en contra de la próxima generación de ataques cibernéticos. Estos ataques altamente sofisticados pueden pasar fácilmente por alto los sistemas tradicionales de defensa basados en firmas como la próxima generación de firewalls, IPS, antivirus y gateways. La plataforma de prevención contra amenazas de FireEye (FireEye Threat Prevention Platform). Proporciona, en tiempo real, protección dinámica sin el uso de firmas para proteger a una organización de todos los vectores de amenazas primarias y de las distintas etapas del ciclo de vida de un ataque. El núcleo de la plataforma FireEye comprende un motor de ejecución virtual, complementado con información sobre amenazas dinámicas para identificar y bloquear los ataques cibernéticos en tiempo real. FireEye cuenta con más de dos mil 200 clientes en más de 60 países, incluyendo más de 130 en el ranking Fortune 500.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuarlo!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Translate »
RSS
Follow by Email
A %d blogueros les gusta esto:
/