Πέμπτη, 26 Ιουνίου 2014

Η μεγάλη απειλή από το κακόβουλο λογισμικό «iBanking» για Android συσκευές - Τρόποι αποφυγής


Πανίσχυρες συμμορίες Ρώσων κυβερνο-εγκληματιών έχουν ξεκινήσει να χρησιμοποιούν εξελιγμένο κακόβουλο λογισμικό (malware), για το περιβάλλον χρήσης φορητών συσκευών Android της Google, ώστε να διευρύνουν τις επιθέσεις σε χρηματοπιστωτικά ιδρύματα. Το εργαλείο, γνωστό ως «iBanking», είναι ένα από τα πιο ακριβά εργαλεία malware που έχει εντοπίσει η Symantec στην αγορά, ενώ ο δημιουργός του έχει ένα Software-as-a-Service business model.


Πίσω από το ψευδώνυμο «GFF», ο ιδιοκτήτης πουλά πλήρεις συνδρομές του λογισμικού, με όλες τις ανανεώσεις και την τεχνική υποστήριξη έως 5.000 δολάρια. Για όσους επιτιθέμενους δεν μπορούν να δώσουν την αμοιβή της συνδρομής, το GFF είναι προετοιμασμένο να προχωρήσει με μία προσφορά, προσφέροντας ενοικίαση με αντάλλαγμα ένα μερίδιο των κερδών.

Το iBanking συχνά μεταμφιέζεται ως νομότυπη social networking, τραπεζική εφαρμογή ή λύση ασφάλειας και χρησιμοποιείται κυρίως για να προσπεράσει out-of-band μέτρα ασφάλειας, παραβιάζοντας κωδικούς που στέλνονται μέσω SMS. Επίσης, μπορεί να χρησιμοποιηθεί για την κατασκευή φορητών botnets και την διεξαγωγή παρακολουθήσεων των θυμάτων του. Το iBanking έχει μία σειρά αναβαθμισμένων χαρακτηριστικών, όπως το ό,τι επιτρέπει στους επιτιθέμενους να εναλλάσσουν τον έλεγχο της συσκευής μεταξύ HTTP and SMS, ανεξάρτητα από τη διαθεσιμότητα σύνδεσης στο Διαδίκτυο.



Πως λειτουργεί

Οι επιτιθέμενοι χρησιμοποιούν τακτικές social engineering για να προσελκύσουν τα θύματά τους, στο να κάνουν download και να εγκαταστήσουν το iBanking στις Android συσκευές τους. Το θύμα, συνήθως είναι ήδη μολυσμένο από ένα trojan οικονομικού περιεχομένου στον υπολογιστή του, το οποίο θα δημιουργήσει ένα pop up μήνυμα όταν επισκέπτονται μία τραπεζική ιστοσελίδα, ρωτώντας τον να εγκαταστήσει μία φορητή εφαρμογή ως πρόσθετο μέτρο ασφάλειας.

Έχει ζητηθεί το τηλέφωνο και το Λειτουργικό Σύστημα (περιβάλλον χρήσης) του χρήστη και έπειτα, θα του σταλεί ένας σύνδεσμος (link) για να κάνει download το ψεύτικο λογισμικό μέσω SMS. Εάν ο χρήστης δεν λάβει το μήνυμα για οποιοδήποτε λόγο, οι επιτιθέμενοι θα παρέχουν επίσης ένα απευθείας link και ένα QR κωδικό, ως εναλλακτικές λύσεις για την εγκατάσταση του λογισμικού. Σε ορισμένες περιπτώσεις, το malware φιλοξενείται στους servers του επιτιθέμενου, ενώ σε άλλες φιλοξενείται σε αξιόπιστα ηλεκτρονικά διαδικτυακά καταστήματα.

To iBanking μπορεί να προσαρμοστεί να μοιάζει με επίσημο λογισμικό από μία σειρά τραπεζών και κοινωνικών δικτύων. Μόλις εγκατασταθεί στο τηλέφωνο, ο επιτιθέμενος έχει σχεδόν πλήρη πρόσβαση στη συσκευή και μπορεί να υποκλέψει φωνητικές και SMS επικοινωνίες.



Ιστορικό

Το iBanking έχει εξελιχθεί από ένα απλό SMS υποκλοπών σε ένα ισχυρό Android Trojan, ικανό να υποκλέψει μία ευρεία γκάμα πληροφοριών από μία παραβιασμένη συσκευή, από φωνητική και SMS επικοινωνία έως φωνητική καταγραφή μέσω του μικροφώνου του τηλεφώνου.

Τα κύρια χαρακτηριστικά του iBanking περιλαμβάνουν:

• Υποκλοπή πληροφοριών του τηλεφώνου – αριθμός, ICCID, IMEI, IMSI, μοντέλο, Λειτουργικό Σύστημα
• Παραβίαση incoming/outgoing μηνυμάτων SMS και upload των πληροφοριών στον control server
• Υποκλοπή incoming/outgoing τηλεφωνημάτων και upload των πληροφοριών στον control server σε πραγματικό χρόνο
• Προώθηση κλήσεων σε ένα ελεγχόμενο από τον επιτιθέμενο αριθμό
• Προώθηση των επαφών στον control server
• Εγγραφή μέσω του μικροφώνου και προώθησή του στον control server
• Αποστολή SMS μηνυμάτων
• Λήψη της θέσης της συσκευής
• Πρόσβαση στο σύστημα φακέλων
• Πρόσβαση στη λίστα προγραμμάτων
• Εμπόδιο στην αφαίρεση της εφαρμογής εάν τα δικαιώματα του διαχειριστή ενεργοποιηθούν
• Ανάκτηση του τηλεφώνου σε εργοστασιακές ρυθμίσεις εάν τα δικαιώματα του διαχειριστή ενεργοποιηθούν
• Obfuscated κώδικα



Προστασία

Η Symantec έχει εντοπίσει την απειλή ως «Android.iBanking» (http://www.symantec.com/security_response/writeup.jsp?docid=2014-030713-0559-99). Οι χρήστες πρέπει να είναι επιφυλακτικοί με οποιοδήποτε SMS μήνυμα που περιέχει link, το οποίο τους προτρέπει να κάνουν download APKs (αρχεία τύπου Android application package), ιδιαίτερα αν προέρχονται από μη αξιόπιστες πηγές. Οι διαχειριστές ΙΤ πρέπει να εξετάσουν το ενδεχόμενο, να εμποδίσουν όλα τα μηνύματα που περιέχουν link με προς εγκατάσταση ενός APK.

Ορισμένα iBanking APK έχουν προσχωρήσει σε έμπιστα marketplace και οι χρήστες πρέπει να είναι ενήμεροι για αυτό το πιθανό τρόπο μόλυνσης. Οι χρήστες, πρέπει να είναι επιφυλακτικοί στο διαμοιρασμό ευαίσθητων δεδομένων μέσω SMS, ή έστω να γνωρίζουν ό,τι κακόβουλα προγράμματα αναζητούν αυτά τα δεδομένα.

zougla.gr

Δεν υπάρχουν σχόλια: