COMPUTER ΓΙΑ ΟΛΟΥΣ
8
Ο
πως μας ενημερώνει η Symantec, το
εργαλείο, γνωστό ως iBanking, είναι
ένα από τα πιο ακριβά εργαλεία
malware, ενώ ο δημιουργός του έχει ένα
Software-as-a-Service business model.
Πίσω από το ψευδώνυμο GFF, ο δημι-
ουργός του iBanking πουλάει πλήρεις συν-
δρομές του λογισμικού, με όλες τις ανανε-
ώσεις και την τεχνική υποστήριξη.
Τα χρήματα που εισπράττει φτάνουν έως
τα $ 5.000 ανά συνδρομή.
Για όσους επιτιθέμενους δεν μπορούν να
δώσουν την αμοιβή της συνδρομής, το GFF
είναι προετοιμασμένο να προχωρήσει με
μία προσφορά, προσφέροντας ενοικίαση
με αντάλλαγμα ένα μερίδιο των κερδών.
Το iBanking συχνά μεταμφιέζεται ως νο-
μότυπη social networking, τραπεζική εφαρ-
μογή ή λύση ασφάλειας και χρησιμοποιείται
κυρίως για να προσπεράσει τα μέτρα
ασφαλείας, παραβιάζοντας κωδικούς που
στέλνονται μέσω SMS.
Μπορεί να χρησιμοποιηθεί, επίσης, για
την κατασκευή φορητών botnets και τη διε-
ξαγωγή παρακολουθήσεων των θυμάτων
του.
Το iBanking έχει μία σειρά αναβαθμισμέ-
νων χαρακτηριστικών, όπως επιτρέποντας
στους επιτιθέμενους να εναλλάσσουν τον
έλεγχο της συσκευής μεταξύ HTTP and
SMS, ανεξάρτητα από τη διαθεσιμότητα
σύνδεσης στο Διαδίκτυο.
ΠΩΣ ΛΕΙΤΟΥΡΓΕΙ
Οι επιτιθέμενοι χρησιμοποιούν τακτικές
social engineering για να προσελκύσουν τα
θύματά τους στο να κατεβάσουν και να
εγκαταστήσουν το iBanking στις Android
συσκευές.
Το θύμα συνήθως είναι ήδη μολυσμένο
από ένα trojan οικονομικού περιεχομένου
στον υπολογιστή του, το οποίο θα δημιουρ-
γήσει ένα pop up μήνυμα όταν επισκέπτεται
μία τραπεζική ιστοσελίδα, ρωτώντας τον να
εγκαταστήσει μία φορητή εφαρμογή ως
πρόσθετο μέτρο ασφάλειας.
Το σύστημα έχει ήδη ζητήσει το τηλέφω-
νο και το λειτουργικό σύστημα του χρήστη
και έπειτα θα του αποστείλει ένα link για να
κατεβάσει το ψεύτικο λογισμικό μέσω SMS.
Εάν ο χρήστης δεν λάβει το μήνυμα για
οποιονδήποτε λόγο, οι επιτιθέμενοι θα πα-
ρέχουν επίσης ένα απευθείας link και ένα
QR κωδικό ως εναλλακτικές λύσεις για την
εγκατάσταση του λογισμικού.
Σε ορισμένες περιπτώσεις, το malware
φιλοξενείται στους servers του επιτιθέμε-
νου. Σε άλλες περιπτώσεις, φιλοξενείται σε
αξιόπιστα ηλεκτρονικά app stores.
To iBanking μπορεί να προσαρμοστεί να
μοιάζει με επίσημο λογισμικό από μία σειρά
τραπεζών και κοινωνικών δικτύων.
Μόλις εγκατασταθεί στο τηλέφωνο, ο επι-
τιθέμενος έχει σχεδόν πλήρη πρόσβαση
στη συσκευή και μπορεί να υποκλέψει φω-
νητικές και SMS επικοινωνίες.
ΠΩΣ ΝΑ ΠΡΟΣΤΑΤΕΥΤΟΥΜΕ
Η Symantec έχει εντοπίσει την απειλή ως
Android.iBanking.
Οι χρήστες πρέπει να είναι επιφυλακτικοί
με οποιοδήποτε SMS μήνυμα που περιέχει
link το οποίο τους προτρέπει να κάνουν
download APKs (Android application
package αρχεία), ιδιαίτερα αν προέρχονται
από μη αξιόπιστες πηγές.
Οι διαχειριστές ΙΤ πρέπει να εξετάσουν
το ενδεχόμενο να εμποδίσουν όλα τα μηνύ-
ματα που περιέχουν link με αρχεία APK.
Ορισμένα iBanking APKs έχουν προσχωρή-
σει σε έμπιστα marketplaces και οι χρήστες
πρέπει να είναι ενήμεροι για αυτό τον πιθα-
νό τρόπο μόλυνσης.
Οι χρήστες πρέπει να είναι επιφυλακτικοί
στο διαμοιρασμό ευαίσθητων δεδομένων
μέσω SMS, ή έστω να γνωρίζουν ότι κακό-
βουλα προγράμματα αναζητούν αυτά τα
δεδομένα.
iBANKING
Πώς οι τραπεζικοί λογαριασμοί
κάνουν φτερά
FOCUS
ΙΣΤΟΡΙΚΟ
Το iBanking έχει εξελιχθεί από ένα απλό SMS υποκλοπών σε ένα ισχυ-
ρό Android Trojan, ικανό να υποκλέψει μία ευρεία γκάμα πληροφοριών
από μία παραβιασμένη συσκευή, από φωνητική και SMS επικοινωνία
έως φωνητική καταγραφή μέσω του μικροφώνου του τηλεφώνου.
Τα κύρια χαρακτηριστικά του iBanking περιλαμβάνουν:
•
Υποκλοπή πληροφοριών του τηλεφώνου – αριθμός, ICCID, IMEI,
IMSI, μοντέλο, λειτουργικό σύστημα
•
Παραβίαση incoming/outgoing μηνυμάτων SMS και upload των πλη-
ροφοριών στον control server
•
Υποκλοπή incoming/outgoing τηλεφωνημάτων και upload των πλη-
ροφοριών στον control server σε πραγματικό χρόνο
•
Προώθηση κλήσεων σε ένα ελεγχόμενο από τον επιτιθέμενο αριθμό
•
Προώθηση των επαφών στον control server
•
Εγγραφή μέσω του μικροφώνου και προώθησή του στον control
server
•
Αποστολή SMS μηνυμάτων
•
Λήψη της θέσης της συσκευής
•
Πρόσβαση στο σύστημα φακέλων
•
Πρόσβαση στη λίστα προγραμμάτων
•
Εμπόδιο στην αφαίρεση της εφαρμογής, εάν τα δικαιώματα του δια-
χειριστή ενεργοποιηθούν
•
Ανάκτηση του τηλεφώνου σε εργοστασιακές ρυθμίσεις εάν τα δικαι-
ώματα του διαχειριστή ενεργοποιηθούν
•
Obfuscated κώδικα
Πανίσχυρες
συμμορίες Ρώσων
κυβερνοεγκληματιών
έχουν ξεκινήσει να
χρησιμοποιούν
εξελιγμένο Android
malware για να
διευρύνουν τις
επιθέσεις σε
χρηματοπιστωτικά
ιδρύματα.
