Grupos de cibercriminosos russos começaram a usar o recém-descoberto ''malware premium'' para ampliar seus ataques em instituições financeiras ao redor do mundo. A ferramenta conhecida como iBanking, que tem alto valor comercial, segundo a Symantec é vendida sob um desenvolvido modelo de Software as a Service (SaaS).
A ameaça opera sob o GFF (General feature format) e o seu proprietário é capaz de vender assinaturas completas de software, com atualizações e suporte técnico por até U$S5 mil. Para os criminosos que não conseguem pagar a taxa de inscrição, o GFF também está preparado para fazer um acordo, oferecendo concessões em troca de uma parte dos lucros.
Com pacotes de assinaturas que contém atualizações e suporte técnico, a aplicação criada para Android é capaz de derrotar medidas de segurança fora de banda empregadas por instituições financeiras e interceptar senhas de uso único enviadas por SMS. A partir dela é possível também construir botnets móveis e vigiar o comportamento dos usuários por meio de seus smartphones.
A ameaça, detectada como Android.iBanking, se disfarça como uma aplicação de bancos, de segurança ou redes sociais e possui uma série de recursos avançados que permitem aos invasores alternar entre controle HTTP e SMS, dependendo da disponibilidade de uma conexão com a Internet. O malware é também capaz de roubar diversas informações a partir de um aparelho infectado, interromper comunicações de voz e de texto e, ainda, gravar áudios pelo microfone do telefone.
O preço elevado desta ameaça significa que o uso foi inicialmente centralizado as quadrilhas de cibercrime com bons recursos financeiros, mas, com o recente vazamento de seu código-fonte, a Symantec tem visto um aumento significativo na atividade em torno do iBanking e os ataques tendem a crescer ainda mais no futuro próximo.
Como funciona
Para estimular as vítimas a baixar e instalar o iBanking em seus dispositivos Android, os cybercriminosos utilizam táticas de engenharia social e enviam a computadores infectados mensagens pop-up, que solicitam a instalação de um aplicativo móvel como medida de segurança adicional a sites bancários ou redes sociais. Com a instalação, o usuário informa o seu número de telefone e sistema operacional do smartphone e recebe um link por SMS para o download do software falsificado. Se, por qualquer razão, o usuário não receber a mensagem, os invasores também fornecem um link direto e um QR Code como alternativas.
O iBanking pode ser configurado para se parecer com o software oficial de diversos bancos e redes sociais. Uma vez instalado, o invasor tem acesso quase completo ao aparelho e pode interceptar comunicações de voz e SMS. Por padrão, o malware busca por uma conexão de Internet válida. Se for encontrada, ela pode ser controlada através da Web através de HTTP. Se não houver conexão com a Internet, o controle muda para SMS.
Recomendações
Uma vez que as vítimas do malware geralmente são induzidas a instalar o aplicativo por um Trojan financeiro em desktops, manter o software antivírus atualizado ajuda a evitar a infecção.
É necessário também cuidado com as mensagens SMS que contêm links para baixar APKs (arquivos do pacote de aplicativos Android), principalmente a partir de fontes não-confiáveis. Alguns APKs do iBanking foram colocados em mercados confiáveis e os usuários devem estar cientes disto como uma potencial via de infecção.
Além disso, os usuários devem estar cientes sobre o compartilhamento de dados sensíveis através de SMS, ou pelo menos atentar a programas maliciosos buscando por esses dados.