SlemBunk: malware para bancos se dissemina no mundo

Outro malware específico para ataques a Bancos está se disseminando rapidamente em todo o mundo, de acordo com a FireEye, empresa especializada em investigação de segurança digital.
Não tenho notícia de algum ataque bem sucedido aqui no Brasil - até porque as instituições brasileiras têm o péssimo hábito de não divulgar e alertar os usuários sobre isso. Mas posso afirmar que o risco existe e é real. Portanto, todo cuidado é pouco: evite instalar aplicativos desconhecidos ou altamente populares em seu smartphone, caso ele seja utilizado para acesso ao seu Banco.

O "SlemBunk" foi analisado pela primeira vez pela FireEye em meados de dezembro. A empresa de segurança observou na época que tinha identificado 170 amostras SlemBunk projetadas para direcionar os usuários de 33 aplicações oferecidas por instituições financeiras e prestadores de serviços na América do Norte, Europa e região da Ásia-Pacífico.
Os aplicativos que escondem o cavalo de Tróia são distribuídos através de sites maliciosos e de conteúdo adulto, disfarçado como aplicativos legítimos, como o Adobe Flash Player. Uma vez que infecta um dispositivo Android, o Trojan monitora os processos em execução (programas em uso) e quando um processo associado a um aplicativo alvo é detectado, ele exibe uma página de phishing personalizado projetado para enganar a vítima a entregar informações confidenciais.
A FireEye revelou agora que a cadeia de infecção do SlemBunk é maior do que inicialmente se acreditava. Na primeira fase, quando a vítima visita um dos sites controlados pelos atacantes, um drive-by download é iniciado e o aplicativo SlemBunk é instalado/baixado através de um sistema "conta-gotas" - um download em parcelas diminutas e com capacidade de continuar de onde parou, caso o dispositivo seja desligado.
A FireEye observou que esse mecanismo faz com que seja mais difícil para os analistas traçar ataques de volta à sua origem (trace-back), permitindo que o malware seja instalado de forma mais persistente no dispositivo da vítima. Ou seja, mesmo que seja desinstalado, o processo volta a ocorrer indefinidamente. Os pesquisadores ainda identificaram vários domínios C&C (comando-e-controle) registrados em várias datas em 2015.
A forma como a infra-estrutura de C&C é criada permite ao malware evoluir para formas diferentes, adaptando-se a qualquer mecanismo de defesa que seja criado e instalado no smartphone. Um verdadeiro "malware-update", semelhante ao que fazem os melhores programas e sistemas operacionais.