Grupările rusești de infractori cibernetici încep să utilizeze programe malware premium pentru platforma Android cu scopul de a-și extinde atacurile asupra instituțiilor financiare. Instrumentul cunoscut sub denumirea de iBanking este unul dintre cele mai scumpe programe malware intâlnite de Symantec pe piața neagră, iar creatorul său operează sub auspiciile unui model de business tip Software-as-a-Service (SaaS).
Activ sub pseudonimul GFF, proprietarul programului vinde abonamente de software, pachete care cuprind actualizări de software și suport tehnic la un tarif de până la 5.000 de dolari. Pentru atacatorii care nu reușesc să își plătească onorariul lunar de abonare, GFF oferă o înțelegere economică și acordă programul în regim de leasing pentru a beneficia de o cotă-parte din profituri, informează specialiștii Symantec.
iBanking este deghizat uneori sub egida unei aplicații legitime de social networking, banking sau de securitate, și este folosit pentru a înfrânge măsurile de securitate out-of-band inițiate de instituții bancare, prin intermediul interceptării parolelor unice trimise prin SMS. Programul poate fi folosit pentru a construi instanțe botnet de dispozitiv mobil astfel încât să susțină operațiuni de supraveghere asupra victimelor vizate. iBanking este dotat cu un număr impresionant de facilități de natură avansată, acesta permite atacatorilor să comute între un control tip HTTP și unul SMS, în funcție de disponibilitatea unei conexiuni la Internet.
Prețul ridicat al programului indică faptul că a fost conceput pentru a fi utilizat de grupări de cyber-terorism cu resurse financiare generoase. Odată cu o recentă „scurgere" a codului-sursă pe Internet, Symantec observă o creștere semnificativă a activității din aria iBanking, astfel este preconizată o resurgență a atacurilor în viitorul apropiat.
Cum funcționează?
Atacatorii folosesc tactici și inginerii sociale pentru a ademeni victimele să descarce și să instaleze iBanking pe dispozitivele Android proprii. Victima este infectată în prealabil cu un program Trojan financiar pe desktop-ul dispozitivului, acesta va genera un mesaj pop-up în momentul când vizitează un website de networking social sau unul bancar, iar mesajul va îndemna utilizatorul să instaleze o aplicație mobilă sub tertipul suplimentării măsurilor de securitate.
Utilizatorul este instruit să introducă numărul de telefon și să specifice sistemul de operare al dispozitivului. Acesta va primi în scurt timp un link de descărcare printr-un SMS pentru software-ul deghizat. Dacă utilizatorul nu primește mesajul din anumite motive, atacatorul va furniza un link direct de descărcare a software-ului, fie un cod QR, ca alternativă pentru instalare. În unele cazuri, programul Malware este găzduit pe server-ele atacatorilor. În alte cazuri, acesta este găzduit pe platforme third-party de uz comun.
iBanking poate fi configurat pentru a simula un software oficial furnizat de o varietate de instituții bancare sau rețele sociale. Odată instalat pe telefon, atacatorul deține acces complet asupra telefonului și poate intercepta comunicații vocale și de SMS.
Istoric
iBanking a evoluat de la un simplu software de furat SMS într-un Trojan Android de mare performanță, capabil să fure o varietate extinsă de informații de pe telefon, acesta poate să intercepteze comunicații vocale și de SMS, și chiar să înregistreze piste audio prin intermediul microfonului aparatului.
Versiuni timpurii de pre-sale au fost interceptate odată cu luna August 2013. Acestea operează cu funcționalități limitate și sunt capabile să redirecționeze apeluri și să fure mesaje SMS. Proprietarul iBanking, pseudonim GFF, continuă să rafineze programul Malware. În luna Septembrie 2013, acesta a scos la vânzare o versiune avansată a programului pe piața neagră a forum-urilor Est-Europene.
iBanking poate fi controlat prin SMS și HTTP. Aceste protocoale oferă opțiuni de comandă și control atât offline, cât și online. Inițial, programul Malware va căuta de la sine o conexiune validă la Internet. Odată găsită, programul poate fi controlat pe Web prin intermediul HTTP. Dacă nu este găsită o conexiune de Internet, programul trimite un SMS pentru a fi activat.
Funcționalitățile actuale iBanking includ:
Furt de informații de pe telefon – număr de telefon, ICCID, IMEI, IMSI, model, sistem de operare
Interceptare de mesaje SMS la primire și la trimitere, urmate de încărcarea acestora pe server-ul de control
Interceptare de apeluri vocale la primire și la inițiere, urmate de încărcarea acestora în timp real pe server-ul de control
Redirecționare a apelurilor către un număr de telefon controlat de atacator
Încărcarea informațiilor din agenda de contacte pe un server de control
Înregistrare de piste audio prin intermediul microfonului și încărcarea lor pe server de control
Trimitere de mesaje SMS
Localizare geografică a dispozitivului
Acces la sistemul de fișiere
Acces la programele instalate pe dispozitiv
Fiți la curent cu ultimele noutăți. Urmăriți DCNews și pe Google News
de Val Vâlcu