SlemBunk: Neuer Android-Trojaner imitiert Banking-Apps; Malware-Familie greift in Wellen an

FireEye hat eine neue Serie von Android-Trojanern identifiziert: Rund 170 Varianten von „SlemBunk” sind derzeit im Umlauf. Sie imitieren die Oberflächen der Apps von 33 Finanzinstituten und Finanzdienstleistern mit weltweiter Präsenz. Die Angriffe dauern noch an.

SlemBunk-Apps tarnen sich als beliebte Android-Applikationen wie Instant Messaging oder Social Media-Anwendungen. Einmal heruntergeladen, startet ein Angriff in mehreren Wellen – eine organisierte Kampagne, die anscheinend über ein Verwaltungspanel gesteuert wird und schwer zu ihrem eigentlichen Ursprung zurück zu verfolgen ist. Die Angreifer phishen nach Authentifizierungsdaten, sobald die Banking-Apps oder ähnliche Anwendungen von Instituten, die im Visier der Angreifer stehen, geladen werden. Sie verfolgen damit in erster Linie kommerzielle Absichten, sammeln aber auch Daten.

Einmal auf dem Gerät des Opfers (mit den Privilegien eines Administrators), registriert die Malware den Start der Banking-App und zeigt stattdessen eine eigene, optisch angepasste Oberfläche, die die Original-App imitiert. Sie übermittelt sodann die Benutzerinformationen an einen remote Command and Control (CnC) Server, wo auch sensible Geräteinformationen gesammelt werden. Von diesem Server empfängt SlemBunk Befehle.

Trojaner kommt über ein angebliches Flash-Update

Aktuell wurden keine Instanzen von SlemBunk auf Google Play gefunden. Nutzer werden also nur infiziert, wenn die Malware von einer bösartigen Website übermittelt oder direkt heruntergeladen wird. Neuere Versionen von SlemBunk werden derzeit auch über Porno-Webseiten verbreitet: Besucher werden dort mehrmals aufgefordert, ein Adobe Flash Update – hinter der sich die Malware versteckt – herunterzuladen, um Inhalte zu sehen. Ein Schutz besteht nur durch umfassende Mobile Security-Lösungen.

Technische Details zu SlemBunk finden Sie hier und hier.aj