Llegamos a ustedes gracias a:



Alertas de Seguridad

En riesgo aplicaciones bancarias

Por virus SlemBunk, identificado por FireEye

[04/02/2016] FireEye identificó en el 2015 a SlemBunk, un virus del tipo Caballo de Troya que ataca aplicaciones bancarias en dispositivos basados en sistema Android. En una reciente investigación, el equipo de especialistas de FireEye descubrió que el malware es aún más resistente que antes, lo que lo hace cada vez más peligroso, además de que se le utiliza como parte de una acción más grande en el proceso de ataques más evolucionados.

"A partir de una primera encuesta conformar una investigación, FireEye encontró que un grupo de virus del tipo Caballo de Troya que funciona a través de aplicaciones encubiertas, intentó robar datos de identificación a usuarios de Android con acceso a aplicaciones de banca. Estas aplicaciones maliciosas tienen la capacidad de obtener información personal y autentificar claves de acceso cuando se registra alguna solicitud específica. En nuestra investigación inicial identificamos más de 170 muestras del virus SlemBunk que han atacado a usuarios de 33 aplicaciones bancarias, especialmente en países de América del Norte, Europa y Asia Pacífico, comentó Robert C. Freeman, vicepresidente de América Latina de FireEye.

El ejecutivo señaló que, para robar los datos de acceso del usuario, el virus se comunica con el servidor de comando y control para llevar a cabo diversas actividades dañinas. "Cabe señalar que las descargas que se llevan a cabo a través de sitios de pornografía y también funcionan como un mecanismo de distribución que alimenta al cuerpo de datos de SlemBunk, anotó.

Después de un segundo y más profundo análisis, los expertos de FireEye observaron una cadena que estaba conformando un ataque prolongado. "Esto significa que antes de comenzar a conformar un cuerpo de datos y atacar a un paquete de hasta tres aplicaciones (tipo gotero, downloader, carga útil) el agente malicioso debe estar instalado en el dispositivo, lo que complica el trabajo de los analistas para trazar el camino de regreso del ataque desde el origen, además de que encontramos que el malware tiene una presencia más persistente en el dispositivo infectado, explico Freeman.

Al estudiar los códigos y la forma de acceso a los mensajes, también se identificaron varios servidores de control de URLs y comandos que permiten ver que se trata de una campaña organizada, personalizada y propietaria de un panel de administración. "El registro récord de campos relevantes sugiere que se trata de una acción reciente y activa desarrollada en varios formatos, añadió el ejecutivo.

Descargas de programas, el comienzo de SlemBunk

Freeman explicó que al principio, el virus se propaga por las copias de aplicaciones populares, tales como aplicaciones pornográficas y otras de tipo básico. Inicialmente conocidas como "aplicación gotero, buscan entrar en el dispositivo de la víctima para iniciar un ataque sostenido. De esta forma, un sitio web puede funcionar conteniendo un atajo oculto adicional: Si el sitio identifica que el acceso se hace desde un dispositivo Android, a continuación, un cuadro de diálogo sugiere la actualización de JavaScript, y si el usuario acepta, entonces el dispositivo quedará infectado.

"Eso es solo la puerta de entrada de SlemBunk, que al inicio no afecta mucho al usuario; el problema surge al aceptar los siguientes pasos y entonces el usuario corre el riesgo de comprometer sus datos bancarios, indicó Freeman.

Continuó explicando que la descarga representa la segunda etapa en la cadena de ataque y su principal objetivo es infectar con SlemBunk el cuerpo de datos para robar la información de las víctimas. "Sin embargo, no es fácil de identificar cuando se sufre una invasión ya que la aplicación afecta de manera natural y solo deja algunas señales de identidad en Android. Los códigos, cuando están infectados, se ven alterados sutilmente y por ello se requiere de una búsqueda minuciosa para identificarlos, añadió.

Agregó que, en algunos casos estudiados, las aplicaciones, aunque son maliciosas, no llevan a cabo la acción deseada: el robo de datos bancarios. Más bien actúan como canales para concretar el acto malicioso definitivo.

"Además, los atacantes cibernéticos también contribuyen a integrar una existencia más sigilosa y persistente del malware en el dispositivo una vez que una cadena de ataques se vuelve mucho más difícil de ser examinada por un analista. Otro punto de atención consiste en que una aplicación descargada se elimina de la tienda después de la carga y solo persiste en la memoria. Por último, aunque sea detectada y eliminada, la acción maliciosa de SlemBunk en el cuerpo de datos, puede tratar de descargarlo de nuevo en el dispositivo, señaló Freeman.

Durante la investigación de FireEye, se descubrieron varios hechos. En primer lugar, la interfaz administrativa alojada en el servidor de comando y control sugiere que el ataque es personalizable, y la descarga puede adaptarse fácilmente de acuerdo con las especificaciones programadas por el atacante. Otro factor es que la información de programación para los dominios asociados ha demostrado que esta campaña de ataques es muy reciente, y sigue en curso, además de que probablemente continuará evolucionando en diferentes formas. Al respecto, FireEye se ha comprometido a que todo su equipo de investigación especializado en dispositivos móviles mantendrá una estrecha vigilancia sobre el tema.

CIO, Perú