O iBanking é uma aplicação maliciosa para Android que quando instalada num dispositivo móvel é capaz de espiar todas as comunicações de um utilizador. Na realidade, este bot tem capacidades muito interessantes, que incluem a captura de mensagens SMS (entrada e saída), o redireccionamento de chamadas de entrada e até a captura de áudio utilizando o microfone do dispositivo.
Como foi reportado pelo investigador independente, Kafeine, esta aplicação esteve à venda em fóruns underground e foi utilizada por diversos troianos com fins bancários, de modo a que fosse contornada a autenticação de dois passos utilizada por algumas instituições financeiras. Este método, conhecido normalmente por número móvel de autorização de transacções (mTAN) ou mToken, é utilizado em diversos bancos espalhados por todo o mundo para autorizar operações bancárias. Para além disso, está também a ser utilizador por diversos serviços de Internet como o Gmail, Facebook e Twitter.
Recentemente, foi revelado pela RSA que o código fonte do iBanking chegou aos fóruns underground. De facto, a fonte do painel de administração web chegou à Internet para permitir aos utilizadores mal intencionados mudarem campos e aspecto em geral, de modo a adequar-se ao alvo que pretendem atacar. Posto isto, é só uma questão de tempo até começarmos a testemunhar a utilização criativa da aplicação iBanking.
Webinject
Através da monitorização que efectuámos ao troiano bancário Win32/Qadars, descobrimos um novo tipo de webinject que utiliza JavaScript e que tem como principal objectivo ser colocado em páginas do Facebook, tentando levar os utilizadores a instalarem uma aplicação Android.
Quando nos deparámos com esse webinject, soubemos de imediato que algo muito interessante estava em construção.
Assim que o utilizador acede à sua conta de Facebook, o malware tenta injectar o seguinte conteúdo na página web:
Quando o utilizador introduz o seu número de telefone e caso indique que está a utilizar um sistema Android, surge a página que mostramos abaixo:
Caso a SMS não chegue ao telefone da vítima, ele pode aceder directamente ao URL disponível na imagem ou digitalizar o código QR. Existe também um guia de instalação disponível que explica como instalar a aplicação.
A forma como o iBanking é instalado no dispositivo móvel do utilizador é muito comum, porém esta é a primeira vez em que vemos uma aplicação móvel a ter como alvo principal o Facebook.
iBanking
O iBanking, detectado pela ESET como Android/Spy.Agent.AF, é uma aplicação que revela funcionalidades complexas, comparativamente a outros tipos de malware mais antigos, como o Perkele. Pode ser utilizado em conjunto com qualquer malware que seja capaz de injectar código numa págona web e é normalmente utilizado para redireccionar mensagens SMS que cheguem ao dispositivo para contornarem a autenticação de dois factores.
Se no passado, o componente móvel do Perkele já foi utilizado como parte de uma das campanhas Win32/Qadars, num esforço de se contornar os mecanismos de autenticação de dois fatores utilizados pelas instituições bancárias, vemos agora que ele está também a utilizar o IBanking. Isto não é propriamente uma surpresa, uma vez que achamos que todos os webinjects disponibilizados pelos operadores do Win32/Qadars são comprados em fóruns clandestinos. Ou seja, não estão vinculados a quaisquer plataformas específicas. Por outro lado, uma vez que este WebInject está disponível através de um programador WebInject bem conhecido, esta aplicação pode ser distribuído por outros troianos bancários no futuro. Na verdade, é bem possível que para além das instituições bancárias, estes ataques se alarguem a outros tipos de serviços disponíveis na Internet.
[…] […]