Δευτέρα, 25 Μαΐου, 22:46
Αρχική inet iBanking: εκμεταλλευόμενοι πλήρως τη δυναμική του Android Malware

iBanking: εκμεταλλευόμενοι πλήρως τη δυναμική του Android Malware

Πανίσχυρες συμμορίες Ρώσων κυβερνοεγκληματιών έχουν ξεκινήσει να χρησιμοποιούν εξελιγμένο Androidmalware για να διευρύνουν τις επιθέσεις σε χρηματοπιστωτικά ιδρύματα. Το εργαλείο, γνωστό ως iBanking, είναι ένα από τα πιο ακριβά εργαλεία malware, που έχει εντοπίσει η Symantec στην αγορά, ενώ ο δημιουργός του έχει ένα Software-as-a-Servicebusinessmodel. 

mobile iBanking

Πίσω από το ψευδώνυμο GFF, ο ιδιοκτήτης πουλά πλήρεις συνδρομές του λογισμικού, με όλες τις ανανεώσεις και την τεχνική υποστήριξη έως US$5,000. Για όσους επιτιθέμενους δεν μπορούν να δώσουν την αμοιβή της συνδρομής, το GFF είναι προετοιμασμένο να προχωρήσει με μία προσφορά, προσφέροντας ενοικίαση με αντάλλαγμα ένα μερίδιο των κερδών.

Το iBanking συχνά μεταμφιέζεται ως νομότυπη socialnetworking, τραπεζική εφαρμογή ή λύση ασφάλειας και χρησιμοποιείται κυρίως για να προσπεράσει out-of-band μέτρα ασφάλειας, παραβιάζοντας κωδικούς που στέλνονται μέσω SMS. Μπορεί να χρησιμοποιηθεί επίσης για την κατασκευή φορητών botnets και την διεξαγωγή παρακολουθήσεων των θυμάτων του. Το iBanking έχει μία σειρά αναβαθμισμένων χαρακτηριστικών, όπως επιτρέποντας στους επιτιθέμενους να εναλλάσσουν τον έλεγχο της συσκευής μεταξύ HTTP andSMS, ανεξάρτητα από τη διαθεσιμότητα σύνδεσης στο διαδίκτυο.

Πως λειτουργεί
Οι επιτιθέμενοι χρησιμοποιούν τακτικές socialengineering για να προσελκύσουν τα θύματά τους στο να κάνουν download και να εγκαταστήσουν το iBanking στις Android συσκευές. Το θύμα συνήθως είναι ήδη μολυσμένο από ένα trojan οικονομικού περιεχομένου στον υπολογιστή του, το οποίο θα δημιουργήσει ένα pop up μήνυμα όταν επισκέπτονται μία τραπεζική ιστοσελίδα, ρωτώντας τον να εγκαταστήσει μία φορητή εφαρμογή ως πρόσθετο μέτρο ασφάλειας.

Έχει ζητηθεί το τηλέφωνο  και το λειτουργικό σύστημα του χρήστη και έπειτα θα του σταλεί ένα link για να κάνει download το ψεύτικο λογισμικό μέσω SMS. Εάν ο χρήστης δεν λάβει το μήνυμα για οποιοδήποτε λόγο, οι επιτιθέμενοι θα παρέχουν επίσης ένα απευθείας Link και ένα QR κωδικό ως εναλλακτικές λύσεις για την εγκατάσταση του λογισμικού. Σε ορισμένες περιπτώσεις το malware φιλοξενείται στους servers του επιτιθέμενου. Σε άλλες περιπτώσεις, φιλοξενείται σε αξιόπιστα ηλεκτρονικά app stores.

To iBanking μπορεί να προσαρμοστεί να μοιάζει με επίσημο λογισμικό από μία σειρά τραπεζών και κοινωνικών δικτύων. Μόλις εγκατασταθεί στο τηλέφωνο, ο επιτιθέμενος έχει σχεδόν πλήρη πρόσβαση στη συσκευή και μπορεί να υποκλέψει φωνητικές και SMS επικοινωνίες.

Ιστορικό
Το iBanking έχει εξελιχθεί από ένα απλό SMS υποκλοπών σε ένα ισχυρό AndroidTrojan, ικανό να υποκλέψει μία ευρεία γκάμα πληροφοριών από μία παραβιασμένη συσκευή, από φωνητική και SMS επικοινωνία έως φωνητική καταγραφή μέσω του μικροφώνου του τηλεφώνου.

Τα κύρια χαρακτηριστικά του iBanking περιλαμβάνουν:

  • Υποκλοπή πληροφοριών του τηλεφώνου – αριθμός, ICCID, IMEI, IMSI, μοντέλο, λειτουργικό σύστημα
  • Παραβίαση incoming/outgoing μηνυμάτων SMS και upload των πληροφοριών στον controlserver
  • Υποκλοπή incoming/outgoing τηλεφωνημάτων και upload των πληροφοριών στον controlserver σε πραγματικό χρόνο
  • Προώθηση κλήσεων σε ένα ελεγχόμενο από τον επιτιθέμενο αριθμό
  • Προώθηση των επαφών στον controlserver
  • Εγγραφή μέσω του μικροφώνου και προώθησή του στον controlserver
  • Αποστολή SMS μηνυμάτων
  • Λήψη της θέσης της συσκευής
  • Πρόσβαση στο σύστημα φακέλων
  • Πρόσβαση στη λίστα προγραμμάτων
  • Εμπόδιο στην αφαίρεση της εφαρμογής εάν τα δικαιώματα του διαχειριστή ενεργοποιηθούν
  • Ανάκτηση του τηλεφώνου σε εργοστασιακές ρυθμίσεις εάν τα δικαιώματα του διαχειριστή ενεργοποιηθούν
  • Obfuscated κώδικα

Προστασία
Η Symantec έχει εντοπίσει την απειλή ως Android.iBanking. Οι χρήστες πρέπει να είναι επιφυλακτικοί με οποιοδήποτε SMS μήνυμα που περιέχει link το οποίο τους προτρέπει να κάνουν downloadAPKs (Androidapplicationpackage αρχεία), ιδιαίτερα αν προέρχονται από μη αξιόπιστες πηγές. Οι διαχειριστές ΙΤ πρέπει να εξετάσουν το ενδεχόμενο να εμποδίσουν όλα τα μηνύματα που περιέχουν link με προς εγκατάσταση ενός APK.

Ορισμένα iBankingAPKs έχουν προσχωρήσει σε έμπιστα marketplaces και οι χρήστες πρέπει να είναι ενήμεροι για αυτή τον πιθανό τρόπο μόλυνσης. Οι χρήστες πρέπει να είναι επιφυλακτικοί στο διαμοιρασμό ευαίσθητων δεδομένων μέσω SMS, ή έστω να γνωρίζουν ότι κακόβουλα προγράμματα αναζητούν αυτά τα δεδομένα.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

Bill Gates: Νέα θεωρία συνωμοσίας για το εμβόλιο του COVID-19

Νέα θεωρία συνωμοσίας θέλει τον Bill Gates να σχεδιάζει να χρησιμοποιήσει το εμβόλιο, που θα κατασκευαστεί για την καταπολέμηση του COVID-19, για...

Power Glove: Μετατράπηκε σε χειριστήριο modular synth!

Power Glove: μετατράπηκε σε χειριστήριο modular synth: O Sam Battle, βρήκε τον τρόπο να μετατρέψει το γάντι της Nintendo, σε «τηλεχειριστήριο» μουσικής,...

PowerToys: Κυκλοφόρησε η έκδοση 0.18 με δύο νέα εργαλεία

Στο συνέδριο Microsoft Build 2020, η Microsoft ανακοίνωσε τα PowerToys 0.18, τα οποία περιέχουν δύο νέα εργαλεία,...

Mozilla, Twitter και Reddit: Απαραίτητη η προστασία του ιστορικού αναζήτησης και περιήγησης των χρηστών

Μια ομάδα επτά εταιρειών Internet δεσμεύεται να υπερασπιστεί το απόρρητο των χρηστών της αυτή την εβδομάδα, όταν η Βουλή των Αντιπροσώπων των...

Το eBay port σαρώνει τα PC για προγράμματα remote access

Όταν επισκέπτεστε τον ιστότοπο eBay.com, θα τρέχει ένα script που εκτελεί σάρωση τοπικής θύρας του υπολογιστή σας για να εντοπίσει εφαρμογές απομακρυσμένης...

Παραβίαση σε τράπεζα οδήγησε σε διαρροή στοιχείων καρτών πελατών

Οι hackers πίσω από το Maze ransomware δημοσίευσαν δεδομένα καρτών πληρωμής που έκλεψαν από την Τράπεζα της...

Κυκλοφόρησε νέο Unc0ver jailbreak: Επηρεάζει την έκδοση iOS 13.5!

Μια ομάδα από hackers, ερευνητές ασφαλείας και μηχανικούς, η Unc0ver, κυκλοφόρησε ένα νέο jailbreak package για iOS...

Hacker πουλά τις βάσεις δεδομένων των Ledger, Trezor και KeepKey

Ο hacker που παραβίασε το φόρουμ Ethereum.org φέρεται να πουλά τις βάσεις δεδομένων για τα τρία πιο δημοφιλή hard wallets κρυπτογράφησης -...

Πλατφόρμα εκπαίδευσης EduCBA: Επαναφέραμε τα password σας

Ο διαδικτυακός ιστότοπος εκπαίδευσης EduCBA άρχισε να ενημερώνει τους πελάτες ότι επανέφεραν τους κωδικούς πρόσβασης μετά από παραβίαση δεδομένων.

Επιχειρήσεις: “Work From Home” ή “Work From Anywhere”;

Στην εποχή μας, στα περισσότερα επαγγέλματα οι εργαζόμενοι περνούν το μεγαλύτερο μέρος του χρόνου τους σε ένα γραφείο, μπροστά από έναν υπολογιστή....