FireEye專家們最近發(fā)現(xiàn)SlemBunk再次進化，這次它變身成了一個瞄準(zhǔn)全球手機銀行用戶的強大的Android木馬。

去年十二月，F(xiàn)ireEye安全專家首次發(fā)現(xiàn)Android銀行木馬SlemBunk，一開始還只是針對銀行用戶使用的手機，作為從第三方網(wǎng)站下載的合法銀行app的副本來迷惑用戶的雙眼。

它能夠監(jiān)視移動設(shè)備上銀行app的執(zhí)行進程。當(dāng)用戶啟動這個app時惡意軟件就會向他提供一個假的用戶界面以誘騙用戶提供他們的憑據(jù)。

不過現(xiàn)在SlemBunk 的Android木馬變得更加復(fù)雜了，最近專家們注意到這個木馬更加隱蔽更加難以解決了。

FireEye的安全專家表示：

“由于SlemBunk擴大了攻擊的銀行范圍，代碼也就變得更加復(fù)雜。而且，之后的版本還利用不同的技術(shù)掩蓋潛在的反向工程。下圖是一個Base64編碼的字符串。在一些情況下，SlemBunk的開發(fā)者會利用商業(yè)包裝——保護應(yīng)用程序不被盜版的DexProtector。那么那些使用了這個包裝的惡意軟件大大提升了分析的難度。”

專家們推測SlemBunk的進化之快可能源于組織性的犯罪。

“SlemBunk木馬的興起和發(fā)展清楚地表明著手機惡意軟件變得越來越復(fù)雜越來越有針對性，這一定是團體協(xié)作出來的成果。”

這個安卓木馬背后的組織已經(jīng)將至少31個不同的銀行目標(biāo)和2個移動支付服務(wù)供應(yīng)商作為惡意軟件的目標(biāo)。

現(xiàn)在這個FireEye檢測到的最新變種是通過驅(qū)動下載入侵到手機里，這次它將目標(biāo)指向了那些訪問色情網(wǎng)站并下載的用戶。

“我們還沒有在Google Play上發(fā)現(xiàn)任何SlemBunk實例，因此用戶只會在惡意網(wǎng)站上下載軟件的時候會被感染。新版本的SlemBunk通過向色情網(wǎng)站的用戶頻繁彈送下載一個Adobe Flash以查閱更多色情圖片視頻的提示，讓用戶下載惡意軟件。”

攻擊者就是誘使粗心的用戶安裝這個聲稱是Flash更新的假app。SlemBunk通過一個隱形多級機制被下載到設(shè)備中，在第一階段中下載的APK并不會包含任何為避免觸發(fā)在設(shè)備上安裝的安全解決方案而設(shè)置的惡意功能。

但是其中的“dropper”app隱藏了一些功能，它在下載過程中產(chǎn)生代碼并本地保存到其他臨時的APK中on個。之后，第二個APK文件由dropper動態(tài)加載到內(nèi)存中并從文件系統(tǒng)中刪除出去。于是，第二個APK就成為了最終的惡意有效負載。

FireEye表示：

“即使檢測到并刪除了SlemBunk負載的惡意行動，那個下載器也會定期在設(shè)備里重新下載那個有效負載。”

為了保護您的設(shè)備免受這種威脅，F(xiàn)ireEye建議你：

不要從第三方應(yīng)用商店安裝app。

保證安卓設(shè)備更新。