iBanking: εκμεταλλευόμενοι πλήρως τη δυναμική του Android Malware
10:04 27/6/2014
- Πηγή: PC Nea
Πανίσχυρες συμμορίες Ρώσων κυβερνοεγκληματιών έχουν ξεκινήσει να χρησιμοποιούν εξελιγμένο Android malware για να διευρύνουν τις επιθέσεις σε χρηματοπιστωτικά ιδρύματα. Το εργαλείο, γνωστό ως iBanking, είναι ένα από τα πιο ακριβά εργαλεία malware, που έχει εντοπίσει η Symantec στην αγορά, ενώ ο δημιουργός του έχει ένα Software-as-a-Service business
model.
Πίσω από το ψευδώνυμο GFF, ο ιδιοκτήτης πουλά πλήρεις συνδρομές του λογισμικού, με όλες τις ανανεώσεις και την τεχνική υποστήριξη έως US$5,000. Για όσους επιτιθέμενους δεν μπορούν να δώσουν την αμοιβή της συνδρομής, το GFF είναι προετοιμασμένο να προχωρήσει με μία προσφορά, προσφέροντας ενοικίαση με αντάλλαγμα ένα μερίδιο των κερδών.
Το iBanking συχνά μεταμφιέζεται ως νομότυπη social networking, τραπεζική εφαρμογή ή λύση ασφάλειας και χρησιμοποιείται κυρίως για να προσπεράσει out-of-band μέτρα ασφάλειας, παραβιάζοντας κωδικούς που στέλνονται μέσω SMS. Μπορεί να χρησιμοποιηθεί επίσης για την κατασκευή φορητών botnets και την διεξαγωγή παρακολουθήσεων των θυμάτων του. Το iBanking έχει μία σειρά αναβαθμισμένων χαρακτηριστικών, όπως επιτρέποντας στους επιτιθέμενους να εναλλάσσουν τον έλεγχο της συσκευής μεταξύ HTTP and SMS, ανεξάρτητα από τη διαθεσιμότητα σύνδεσης στο διαδίκτυο.
Πως λειτουργεί
Οι επιτιθέμενοι χρησιμοποιούν τακτικές social engineering για να προσελκύσουν τα θύματά τους στο να κάνουν download και να εγκαταστήσουν το iBanking στις Android συσκευές. Το θύμα συνήθως είναι ήδη μολυσμένο από ένα trojan οικονομικού περιεχομένου στον υπολογιστή του, το οποίο θα δημιουργήσει ένα pop up μήνυμα όταν επισκέπτονται μία τραπεζική ιστοσελίδα, ρωτώντας τον να εγκαταστήσει μία φορητή εφαρμογή ως πρόσθετο μέτρο ασφάλειας.
Έχει ζητηθεί το τηλέφωνο και το λειτουργικό σύστημα του χρήστη και έπειτα θα του σταλεί ένα link για να κάνει download το ψεύτικο λογισμικό μέσω SMS. Εάν ο χρήστης δεν λάβει το μήνυμα για οποιοδήποτε λόγο, οι επιτιθέμενοι θα παρέχουν επίσης ένα απευθείας Link και ένα QR κωδικό ως εναλλακτικές λύσεις για την εγκατάσταση του λογισμικού. Σε ορισμένες περιπτώσεις το malware φιλοξενείται στους servers του επιτιθέμενου. Σε άλλες περιπτώσεις, φιλοξενείται σε αξιόπιστα ηλεκτρονικά app stores.
To iBanking μπορεί να προσαρμοστεί να μοιάζει με επίσημο λογισμικό από μία σειρά τραπεζών και κοινωνικών δικτύων. Μόλις εγκατασταθεί στο τηλέφωνο, ο επιτιθέμενος έχει σχεδόν πλήρη πρόσβαση στη συσκευή και μπορεί να υποκλέψει φωνητικές και SMS επικοινωνίες.
Ιστορικό
Το iBanking έχει εξελιχθεί από ένα απλό SMS υποκλοπών σε ένα ισχυρό Android Trojan, ικανό να υποκλέψει μία ευρεία γκάμα πληροφοριών από μία παραβιασμένη συσκευή, από φωνητική και SMS επικοινωνία έως φωνητική καταγραφή μέσω του μικροφώνου του τηλεφώνου.
Τα κύρια χαρακτηριστικά του iBanking περιλαμβάνουν:
Υποκλοπή πληροφοριών του τηλεφώνου – αριθμός, ICCID, IMEI, IMSI, μοντέλο, λειτουργικό σύστημα
Παραβίαση incoming/outgoing μηνυμάτων SMS και upload των πληροφοριών στον control server
Υποκλοπή incoming/outgoing τηλεφωνημάτων και upload των πληροφοριών στον control server σε πραγματικό χρόνο
Προώθηση κλήσεων σε ένα ελεγχόμενο από τον επιτιθέμενο αριθμό
Προώθηση των επαφών στον control server
Εγγραφή μέσω του μικροφώνου και προώθησή του στον control server
Αποστολή SMS μηνυμάτων
Λήψη της θέσης της συσκευής
Πρόσβαση στο σύστημα φακέλων
Πρόσβαση στη λίστα προγραμμάτων
Εμπόδιο στην αφαίρεση της εφαρμογής εάν τα δικαιώματα του διαχειριστή ενεργοποιηθούν
Ανάκτηση του τηλεφώνου σε εργοστασιακές ρυθμίσεις εάν τα δικαιώματα του διαχειριστή ενεργοποιηθούν
Obfuscated κώδικα
Προστασία
Η Symantec έχει εντοπίσει την απειλή ως Android.iBanking. Οι χρήστες πρέπει να είναι επιφυλακτικοί με οποιοδήποτε SMS μήνυμα που περιέχει link το οποίο τους προτρέπει να κάνουν download APKs (Android application package αρχεία), ιδιαίτερα αν προέρχονται από μη αξιόπιστες πηγές. Οι διαχειριστές ΙΤ πρέπει να εξετάσουν το ενδεχόμενο να εμποδίσουν όλα τα μηνύματα που περιέχουν link με προς εγκατάσταση ενός APK.
Ορισμένα iBanking APKs έχουν προσχωρήσει σε έμπιστα marketplaces και οι χρήστες πρέπει να είναι ενήμεροι για αυτή τον πιθανό τρόπο μόλυνσης. Οι χρήστες πρέπει να είναι επιφυλακτικοί στο διαμοιρασμό ευαίσθητων δεδομένων μέσω SMS, ή έστω να γνωρίζουν ότι κακόβουλα προγράμματα αναζητούν αυτά τα δεδομένα.
Πίσω από το ψευδώνυμο GFF, ο ιδιοκτήτης πουλά πλήρεις συνδρομές του λογισμικού, με όλες τις ανανεώσεις και την τεχνική υποστήριξη έως US$5,000. Για όσους επιτιθέμενους δεν μπορούν να δώσουν την αμοιβή της συνδρομής, το GFF είναι προετοιμασμένο να προχωρήσει με μία προσφορά, προσφέροντας ενοικίαση με αντάλλαγμα ένα μερίδιο των κερδών.
Το iBanking συχνά μεταμφιέζεται ως νομότυπη social networking, τραπεζική εφαρμογή ή λύση ασφάλειας και χρησιμοποιείται κυρίως για να προσπεράσει out-of-band μέτρα ασφάλειας, παραβιάζοντας κωδικούς που στέλνονται μέσω SMS. Μπορεί να χρησιμοποιηθεί επίσης για την κατασκευή φορητών botnets και την διεξαγωγή παρακολουθήσεων των θυμάτων του. Το iBanking έχει μία σειρά αναβαθμισμένων χαρακτηριστικών, όπως επιτρέποντας στους επιτιθέμενους να εναλλάσσουν τον έλεγχο της συσκευής μεταξύ HTTP and SMS, ανεξάρτητα από τη διαθεσιμότητα σύνδεσης στο διαδίκτυο.
Πως λειτουργεί
Οι επιτιθέμενοι χρησιμοποιούν τακτικές social engineering για να προσελκύσουν τα θύματά τους στο να κάνουν download και να εγκαταστήσουν το iBanking στις Android συσκευές. Το θύμα συνήθως είναι ήδη μολυσμένο από ένα trojan οικονομικού περιεχομένου στον υπολογιστή του, το οποίο θα δημιουργήσει ένα pop up μήνυμα όταν επισκέπτονται μία τραπεζική ιστοσελίδα, ρωτώντας τον να εγκαταστήσει μία φορητή εφαρμογή ως πρόσθετο μέτρο ασφάλειας.
Έχει ζητηθεί το τηλέφωνο και το λειτουργικό σύστημα του χρήστη και έπειτα θα του σταλεί ένα link για να κάνει download το ψεύτικο λογισμικό μέσω SMS. Εάν ο χρήστης δεν λάβει το μήνυμα για οποιοδήποτε λόγο, οι επιτιθέμενοι θα παρέχουν επίσης ένα απευθείας Link και ένα QR κωδικό ως εναλλακτικές λύσεις για την εγκατάσταση του λογισμικού. Σε ορισμένες περιπτώσεις το malware φιλοξενείται στους servers του επιτιθέμενου. Σε άλλες περιπτώσεις, φιλοξενείται σε αξιόπιστα ηλεκτρονικά app stores.
To iBanking μπορεί να προσαρμοστεί να μοιάζει με επίσημο λογισμικό από μία σειρά τραπεζών και κοινωνικών δικτύων. Μόλις εγκατασταθεί στο τηλέφωνο, ο επιτιθέμενος έχει σχεδόν πλήρη πρόσβαση στη συσκευή και μπορεί να υποκλέψει φωνητικές και SMS επικοινωνίες.
Ιστορικό
Το iBanking έχει εξελιχθεί από ένα απλό SMS υποκλοπών σε ένα ισχυρό Android Trojan, ικανό να υποκλέψει μία ευρεία γκάμα πληροφοριών από μία παραβιασμένη συσκευή, από φωνητική και SMS επικοινωνία έως φωνητική καταγραφή μέσω του μικροφώνου του τηλεφώνου.
Τα κύρια χαρακτηριστικά του iBanking περιλαμβάνουν:
Υποκλοπή πληροφοριών του τηλεφώνου – αριθμός, ICCID, IMEI, IMSI, μοντέλο, λειτουργικό σύστημα
Παραβίαση incoming/outgoing μηνυμάτων SMS και upload των πληροφοριών στον control server
Υποκλοπή incoming/outgoing τηλεφωνημάτων και upload των πληροφοριών στον control server σε πραγματικό χρόνο
Προώθηση κλήσεων σε ένα ελεγχόμενο από τον επιτιθέμενο αριθμό
Προώθηση των επαφών στον control server
Εγγραφή μέσω του μικροφώνου και προώθησή του στον control server
Αποστολή SMS μηνυμάτων
Λήψη της θέσης της συσκευής
Πρόσβαση στο σύστημα φακέλων
Πρόσβαση στη λίστα προγραμμάτων
Εμπόδιο στην αφαίρεση της εφαρμογής εάν τα δικαιώματα του διαχειριστή ενεργοποιηθούν
Ανάκτηση του τηλεφώνου σε εργοστασιακές ρυθμίσεις εάν τα δικαιώματα του διαχειριστή ενεργοποιηθούν
Obfuscated κώδικα
Προστασία
Η Symantec έχει εντοπίσει την απειλή ως Android.iBanking. Οι χρήστες πρέπει να είναι επιφυλακτικοί με οποιοδήποτε SMS μήνυμα που περιέχει link το οποίο τους προτρέπει να κάνουν download APKs (Android application package αρχεία), ιδιαίτερα αν προέρχονται από μη αξιόπιστες πηγές. Οι διαχειριστές ΙΤ πρέπει να εξετάσουν το ενδεχόμενο να εμποδίσουν όλα τα μηνύματα που περιέχουν link με προς εγκατάσταση ενός APK.
Ορισμένα iBanking APKs έχουν προσχωρήσει σε έμπιστα marketplaces και οι χρήστες πρέπει να είναι ενήμεροι για αυτή τον πιθανό τρόπο μόλυνσης. Οι χρήστες πρέπει να είναι επιφυλακτικοί στο διαμοιρασμό ευαίσθητων δεδομένων μέσω SMS, ή έστω να γνωρίζουν ότι κακόβουλα προγράμματα αναζητούν αυτά τα δεδομένα.
Keywords
android, malware, malware, symantec, business, προσφορες, λύση, sms, http, download, trojan, pop, τραπεζες, upload, server, κινηση στους δρομους, μετρο, εργαλεια, τηλεφωνο, download, αγορα, αφαιρεση, διαδικτυο, επικοινωνια, ενοικιαση, κυρια, λύση, λογο, μηνυματα, προγραμματα, ρυθμισεις, σειρα, φωνητικη, ψευτικο, business, http, δικαιωματα, εφαρμογη, server, ιδιαιτερα, ηλεκτρονικα, μοιαζει, πηγες, pop, sms, software, symantec, trojan, upload
Τυχαία Θέματα
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Wind: Δοκιμές σε όλη την Ελλάδα και στο www.winddokimi.gr
- Επεξεργαστή με 36 πυρήνες κατασκεύασαν ερευνητές του MIT
- Στο πρόγραμμα ID@Xbox το Oddworld: New ‘n’ Tasty!
- Gameplay trailer από το Godzilla
- Killzone Shadow Fall Intercept DLC Review
- Η τεχνολογία OLED της LG για ανώτερη ποιότητα εικόνας τώρα πιο προσιτή!
- Η SAP Hellas αρωγός στην εκπαίδευση
- Δημοφιλέστερες Ειδήσεις PC Nea
- Τελευταία Νέα PC Nea
- iBanking: εκμεταλλευόμενοι πλήρως τη δυναμική του Android Malware
- Η τεχνολογία OLED της LG για ανώτερη ποιότητα εικόνας τώρα πιο προσιτή!
- Η SAP Hellas αρωγός στην εκπαίδευση
- Ισχυρά ονόματα της παγκόσμιας αγοράς στο Advisory Board της NUBIS
- Τι αποκαλύπτει η μεγάλη έρευνα που υποστήριξε η Xerox για τα Managed Print Services στην Ελλάδα
- Η Toshiba παρουσίασε τη νέα οικογένεια Windows 8.1 tablets
- Η Κωτσόβολος έπαιξε μπάλα από το 1ο λεπτό της Κορυφαίας Ποδοσφαιρικής Διοργάνωσης
- SingularLogic: νέα υπηρεσία για απομακρυσμένη πρόσβαση σε κρίσιμη εταιρική πληροφόρηση
- Η LG εξοπλίζει το πολυτελές ξενοδοχειακό συγκρότημα Porto Carras Grand Resort
- Απάντηση ΟΤΕ ΑΕ στην Επιτροπή Κεφαλαιαγοράς
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Killzone Shadow Fall Intercept DLC Review
- Στο πρόγραμμα ID@Xbox το Oddworld: New ‘n’ Tasty!
- Επεξεργαστή με 36 πυρήνες κατασκεύασαν ερευνητές του MIT
- Gameplay trailer από το Godzilla
- Wind: Δοκιμές σε όλη την Ελλάδα και στο www.winddokimi.gr
- Peek: Κρυφοκοιτάξτε τις ειδοποιήσεις
- LG G Watch: Wearable συσκευή της LG με Android Wear
- Games with Gold: Ιούλιος 2014
- Google Project Tango, οι πρώτες συσκευές με 3D mapping από την LG το 2015
- Wildstar: The Strain Ultradrop
