Grupările rusești de infractori cibernetici încep să utilizeze programe malware premium pentru platforma Android cu scopul de a-și extinde atacurile asupra instituțiilor financiare. Instrumentul cunoscut sub denumirea de iBanking este unul dintre cele mai scumpe programe malware intâlnite de Symantec pe piața neagră, iar creatorul său operează sub auspiciile unui model de business tip Software-as-a-Service (SaaS).
Activ sub pseudonimul GFF, proprietarul programului vinde abonamente de software, pachete care cuprind actualizări de software și suport tehnic la un tarif de până la 5.000 de dolari. Pentru atacatorii care nu reușesc să își plătească onorariul lunar de abonare, GFF oferă o înțelegere economică și acordă programul în regim de leasing pentru a beneficia de o cotă-parte din profituri.
iBanking este deghizat uneori sub egida unei aplicații legitime de social networking, banking sau de securitate, și este folosit pentru a înfrânge măsurile de securitate out-of-band inițiate de instituții bancare, prin intermediul interceptării parolelor unice trimise prin SMS. Programul poate fi folosit pentru a construi instanțe botnet de dispozitiv mobil astfel încât să susțină operațiuni de supraveghere asupra victimelor vizate. iBanking este dotat cu un număr impresionant de facilități de natură avansată, acesta permite atacatorilor să comute între un control tip HTTP și unul SMS, în funcție de disponibilitatea unei conexiuni la Internet.
Prețul ridicat al programului indică faptul că a fost conceput pentru a fi utilizat de grupări de cyber-terorism cu resurse financiare generoase. Odată cu o recentă „scurgere” a codului-sursă pe Internet, Symantec observă o creștere semnificativă a activității din aria iBanking, astfel este preconizată o resurgență a atacurilor în viitorul apropiat.
Cum funcționează?
Atacatorii folosesc tactici și inginerii sociale pentru a ademeni victimele să descarce și să instaleze iBanking pe dispozitivele Android proprii. Victima este infectată în prealabil cu un program Trojan financiar pe desktop-ul dispozitivului, acesta va genera un mesaj pop-up în momentul când vizitează un website de networking social sau unul bancar, iar mesajul va îndemna utilizatorul să instaleze o aplicație mobilă sub tertipul suplimentării măsurilor de securitate.
Utilizatorul este instruit să introducă numărul de telefon și să specifice sistemul de operare al dispozitivului. Acesta va primi în scurt timp un link de descărcare printr-un SMS pentru software–
ul deghizat. Dacă utilizatorul nu primește mesajul din anumite motive, atacatorul va furniza un link direct de descărcare a software-ului, fie un cod QR, ca alternativă pentru instalare. În unele cazuri, programul Malware este găzduit pe server-ele atacatorilor. În alte cazuri, acesta este găzduit pe platforme third-party de uz comun.
iBanking poate fi configurat pentru a simula un software oficial furnizat de o varietate de instituții bancare sau rețele sociale. Odată instalat pe telefon, atacatorul deține acces complet asupra telefonului și poate intercepta comunicații vocale și de SMS.
Istoric
iBanking a evoluat de la un simplu software de furat SMS într-un Trojan Android de mare performanță, capabil să fure o varietate extinsă de informații de pe telefon, acesta poate să intercepteze comunicații vocale și de SMS, și chiar să înregistreze piste audio prin intermediul microfonului aparatului.
Versiuni timpurii de pre-sale au fost interceptate odată cu luna August 2013. Acestea operează cu funcționalități limitate și sunt capabile să redirecționeze apeluri și să fure mesaje SMS. Proprietarul iBanking, pseudonim GFF, continuă să rafineze programul Malware. În luna Septembrie 2013, acesta a scos la vânzare o versiune avansată a programului pe piața neagră a forum-urilor Est-Europene.
iBanking poate fi controlat prin SMS și HTTP. Aceste protocoale oferă opțiuni de comandă și control atât offline, cât și online. Inițial, programul Malware va căuta de la sine o conexiune validă la Internet. Odată găsită, programul poate fi controlat pe Web prin intermediul HTTP. Dacă nu este găsită o conexiune de Internet, programul trimite un SMS pentru a fi activat.
Funcționalitățile actuale iBanking includ:
-
- Furt de informații de pe telefon – număr de telefon, ICCID, IMEI, IMSI, model, sistem de operare
- Interceptare de mesaje SMS la primire și la trimitere, urmate de încărcarea acestora pe server-ul de control
- Interceptare de apeluri vocale la primire și la inițiere, urmate de încărcarea acestora în timp real pe server-ul de control
- Redirecționare a apelurilor către un număr de telefon controlat de atacator
- Încărcarea informațiilor din agenda de contacte pe un server de control
- Înregistrare de piste audio prin intermediul microfonului și încărcarea lor pe server de control
- Trimitere de mesaje SMS
- Localizare geografică a dispozitivului
- Acces la sistemul de fișiere
- Acces la programele instalate pe dispozitiv
- Prevenirea ștergerii aplicației în momentul activării drepturilor de administrator
- Ștergerea sau restaurarea telefonului la setările din fabricație odată cu activarea drepturilor de administrator
- „Eclipsarea”și preluarea codurilor de aplicații
iBanking a devenit disponibil inițial exclusiv din partea lui GFF la prețul de 5000$ pentru pachetul premium, dar ulterior codul sursă al programului Malware este „scurs” pe Internet în luna februarie. Deloc surprinzător, acest fapt a cauzat o creștere imediată a activității de instanțe bot în jurul programului iBanking. Symantec previzionează o resurgență a activităților odată cu circulația codului-sursă pe piața neagră a Internetului.
În lumina acestui fapt, considerăm totodată că grupările cyber-infracționale vor plăti în continuare pentru produsul premium, pentru a beneficia de actualizări, suport tehnic și alte facilități. Versiunea publică de iBanking nu oferă suport tehnic și conține vulnerabilități netratate.
GFF continuă să dezvolte noi funcționalități pentru iBanking. Un comunicat din partea creatorilor programului anunță că versiunea pentru BlackBerry este în etapele de dezvoltare, dar aceasta nu este disponibilă încă pentru vânzare.
Căutarea unui hacker pentru monede Bitcoins furate se transformă în atac asupra BBC și cauzează „scurgerea” codului-sursă iBanking pe Internet
Codul-sursă al programului iBanking devine public odată cu desfășurarea unei serii bizare de evenimente pricinuite de atacurile unui hacker aflat în misiunea de a recupera 65.000 de Bitcoins furați.
Seria de evenimente a început în luna decembrie 2013 când un hacker pe nume ReVOLVeR investighează furtul a 65.000 Bitcoins în numele unui prieten. ReVOLVeR a depistat indiciile furtului pe telefonul mobil al prietenului și a descoperit o infectare a aparatului cu programul iBanking, fapt care demonstrează că numele de utilizator și parola prietenului au fost furate pentru acces asupra portofelului electronic cu Bitcoins.
ReVOLVeR a urmărit pista indiciilor și a descoperit că telefonul infectat comunica cu un server C&C (command-and-control), myredskins.net, apoi a decis să compromită website-ul. Pe server, acesta a întâmpinat date de acces către platforma FTP a website-ului BBC. Datele de acces este posibil să fi fost furate cu ajutorul unui SMS trimis către un telefon mobil infectat cu iBanking, aflat în posesia unui angajat BBC. În mod alternativ, datele de acces ar fi putut proveni din partea unei terțe părți cu acces asupra server-ului.
ReVOLVeR a folosit datele de acces descoperite pentru a se înregistra pe server-ul BBC, a face root contului, apoi a compromite date de acces suplimentare. Progresele hacker-ului au fost făcute publice pe Twitter prin capturi de ecran și fișiere postate pe SendSpace.
Odată încheiate socotelile cu BBC, ReVOLVeR a scos la vânzare programul Malware iBanking pe un forum underground fără a oferi informații cu privire la originea programului, ci refolosind informațiile oferite de GFF pentru a face reclamă produsului. Acesta a fost înlăturat de pe forum, și interzis cu promptitudine.
La scurt timp, în luna februarie, un alt hacker, pseudonim Rome0, a postat codul-sursă al programului iBanking pe un forum de carduri de credit alături de un script simplu care poate re-configura aplicația iBanking. Versiunea postată a fost oferită gratuit, hacker-ul nu pretindea un preț pentru serviciu. Nu este clar dacă Rome0 a primit codul-sursă de la ReVOLVeR sau doar a citit despre atacul asupra BBC pe server-ul C&C și l-a imitat, dar cele două incidente își găsesc un punct de întâlnire.
Emisiunea publică a codului-sursă coincide cu o intensificare în activitatea iBanking. În pofida disponibilității versiunii gratuite, cercetările Symantec sugerează faptul că actorii mediului cyber-infracțional continuă să opteze pentru versiunea plătită a programului. Suportul tehnic și actualizările de software furnizate de GFF își valorifică răsplata.
Grupările infracționale care folosesc iBanking
Una dintre cele mai active grupări de hacking folosind iBanking este denumită Neverquest, o grupare prolifică pentru reușita de a infecta mii de „victime” cu o versiune personalizată a programului Trojan Snifula. Acest program Troian de operațiuni financiare poate fi folosit pentru a acționa drept Intermediar în cadrul atacurilor tip Man-in-the-Middle (MITM) împotriva anumitor instituții bancare internaționale. Gruparea Neverquest folosește programul iBanking pentru a augmenta atacuri cu propriul program Snifula, interceptând astfel parole unice trimise către dispozitive mobile pentru autentificări tip out-of-band, confirmări și verificări de tranzacții financiare. Numerele de control (numerele de telefon mobil de pe care primesc instrucțiuni operatorii de instanță bot) indică faptul că gruparea Neverquest activează din Europa de Est.
Un alt actor periculos pe scena cyber-infracțiunilor cu iBanking se numește Zerafik, acesta operează tot din Estul Europei. Zerafik este administratorul unui server C&C (command-and-control) localizat în Olanda, server care a fost hack-uit la rândul său, cu detalii postate public pe website-ul ProtectYourNet. Acest eveniment indică faptul că instalații iBanking controlate de server-ul C&C au fost configurate pentru a intercepta clienți ai instituției bancare olandeze ING, programul fiind deghizat într-o aplicație cu aspect oficial din partea companiei ING. Campaniile de iBanking descoperite odată cu breșa de server implică multiple rețele botnet segregate, dar controlate prin intermediul unui singur panou de comandă pentru a permite atacatorilor să controleze multiple operațiuni folosind o singură interfață de utilizator.
Unul dintre primii utilizatori ai programului iBanking este un “actor” pe nume Ctouma, cu un palmares care cuprinde activități cu scam websites (site-uri web de fraude și înșelătorii comerciale), comerț cu date și informații de carduri de credit furate. Adresa de e-mail (ctouma2@googlemail.com) fusese folosită inițial pentru a opera un serviciu care vindea date și informații de carduri de credit furate.
Gruparea Ctouma se folosește de una dintre primele versiuni ale programului Malware (acesta nu fusese de vânzare în acea perioadă) pentru a deghiza programul iBanking în spatele unei aplicații mobile dezvoltate de o bancă thailandeză. Deși Thailanda nu este o țară asociată cu atacuri de fraudă financiară, este posibil ca aceste atacuri să fi servit pentru teste de eficiență ale primelor versiuni de iBanking.
Măsuri de protejare
Symantec detectează amenințarea sub denumirea de Android IBanking.
Victimele programului Malware sunt de obicei „păcălite” de un program Troian financiar de desktop spre a instala o aplicație paravan pentru iBanking. Prin menținerea activă a antivirusului de desktop și instalarea actualizărilor tehnice, infectarea cu iBanking poate fi evitată.
Este indicat a nu fi accesate adresele oferite în mesaje SMS (nesolicitate) care conțin link-uri de descărcare a fișierelor APK (Android Application Package), primite din partea unor surse neverificate. Administratorii IT ar trebui să ia în considerare blocarea tuturor mesajelor care conțin link-uri de instalare a fișierelor APK.
Unele fișiere APK de iBanking au fost diseminate ca seed-uri pe anumite portaluri comerciale cu reputație integră, utilizatorii trebuie să cunoască faptul că alegerea de a descărca fișiere APK poate pricinui o infectare cu Malware.
De asemenea, utilizatorii trebuie să înțeleagă riscurile trimiterii de informații sensibile prin intermediul SMS, și să conștientizeze realitatea că programe de tip malițios pot intercepta astfel de informații.
Lasă un răspuns