Grupările ruseşti de infractori cibernetici încep să utilizeze programe malware premium pentru platforma Android cu scopul de a-şi extinde atacurile asupra instituţiilor financiare. Instrumentul cunoscut sub denumirea de “iBanking” este unul dintre cele mai scumpe programe malware pe piaţa neagră, iar creatorul său operează sub auspiciile unui model de business tip Software-as-a-Service (SaaS), se arată într-un raport al companiei de securitate informatică Symantec.
Activ sub pseudonimul GFF, proprietarul programului vinde abonamente de software, pachete care cuprind actualizări de software şi suport tehnic la un tarif de până la 5.000 de dolari. Pentru atacatorii care nu reuşesc să îşi plătească onorariul lunar de abonare, GFF oferă o înţelegere economică şi acordă programul în regim de leasing pentru a beneficia de o cotă-parte din profituri. Preţul ridicat al programului indică faptul că a fost conceput pentru a fi utilizat de grupări de cyber-terorism cu resurse financiare generoase.
iBanking este deghizat uneori sub forma unei aplicaţii legitime de social networking, banking sau de securitate, şi este folosit pentru a înfrânge măsurile de securitate iniţiate de instituţii bancare, prin intermediul interceptării parolelor unice trimise prin SMS.
Cum funcţionează?
Atacatorii folosesc tactici şi inginerii sociale pentru a ademeni victimele să descarce şi să instaleze iBanking pe dispozitivele Android proprii. Victima este infectată în prealabil cu un program Trojan financiar pe desktop-ul dispozitivului, acesta va genera un mesaj pop-up în momentul când vizitează un website de networking social sau unul bancar, iar mesajul va îndemna utilizatorul să instaleze o aplicaţie mobilă sub tertipul suplimentării măsurilor de securitate. Utilizatorul este instruit să introducă numărul de telefon şi să specifice sistemul de operare al dispozitivului. Acesta va primi în scurt timp un link de descărcare printr-un SMS pentru software-ul deghizat. Dacă utilizatorul nu primeşte mesajul din anumite motive, atacatorul va furniza un link direct de descărcare a software-ului, fie un cod QR, ca alternativă pentru instalare. În unele cazuri, programul Malware este găzduit pe server-ele atacatorilor. În alte cazuri, acesta este găzduit pe platforme third-party de uz comun.
iBanking poate fi configurat pentru a simula un software oficial furnizat de o varietate de instituţii bancare sau reţele sociale. Odată instalat pe telefon, atacatorul deţine acces complet asupra telefonului şi poate intercepta comunicaţii vocale şi de SMS, se mai arată în raportul Symantec.
Istoric
iBanking a evoluat de la un simplu software de furat SMS într-un Trojan Android de mare performanţă, capabil să fure o varietate extinsă de informaţii de pe telefon, acesta poate să intercepteze comunicaţii vocale și de SMS şi chiar să înregistreze piste audio prin intermediul microfonului aparatului.
Versiuni timpurii au fost interceptate odată cu luna August 2013. Acestea operează cu funcţionalităţi limitate şi sunt capabile să redirecţioneze apeluri şi să fure mesaje SMS. În septembrie 2013 a fost scoasă la vânzare o versiune avansată a programului pe piaţa neagră a forum-urilor Est-Europene.
Cum ne protejăm
Victimele programului Malware sunt de obicei „păcălite” de un program Troian financiar de desktop spre a instala o aplicaţie paravan pentru iBanking. Prin menţinerea activă a antivirusului de desktop şi instalarea actualizărilor tehnice, infectarea cu iBanking poate fi evitată.
Este indicat a nu fi accesate adresele oferite în mesaje SMS (nesolicitate) care conţin link-uri de descărcare a fișierelor APK (Android Application Package), primite din partea unor surse neverificate.