iBanking es una aplicación maliciosa para Android que cuando es instalada en un teléfono móvil es capaz de espiar las comunicaciones desarrolladas en el mismo. Este bot tiene interesantes capacidades específicas a los teléfonos, incluyendo la intercepción de mensajes SMS entrantes y salientes, el redireccionamiento de llamadas e inclusive capturar el el audio del micrófono del dispositivo.
Tal como reporta el investigador Kafeine, esta aplicación estaba en venta en foros clandestinos y fue utilizada por varios troyanos bancarios con el objetivo de sobrepasar el método de doble factor de autenticación en dispositivos móviles implantado por algunas instituciones bancarias. Dentro del mundo financiero, este método es llamado "número de autorización de transacción móvil" (mTAN en inglés por "Mobile transaction authorization number") o mToken, y es utilizado por varios bancos en el mundo para autorizar operaciones bancarias, pero está siendo cada vez más usado por servicios de Internet populares tales como Gmail, Facebook y Twitter.
Recientemente RSA reveló que el código fuente de iBanking fue publicado en foros clandestinos. De hecho también aparecieron el código del panel de administración y un builder script para cambiar los campos requeridos en formulario, con el fin de adaptar este malware mobile para otros blancos. A partir de esto, era cuestión de tiempo hasta que se comenzaran a ver usos "creativos" de la aplicación iBanking.
Webinject
A partir del monitoreo del troyano bancario Win32/Qadars, hemos observado un tipo de webinject totalmente novedoso: utiliza Javascript, inyectándolo en páginas de Facebook que busca tentar a los usuarios a que descarguen una aplicación para Android.
Cuando vimos por primera vez la inyección web, inmediatamente supimos que había algo interesante allí:
Una vez que el usuario accede a su cuenta de Facebook, el malware intenta inyectar el siguiente contenido en la página web:
Al ingresar su número telefónico, se le muestra al usuario la siguiente página que su teléfono está corriendo Android.
Si de alguna manera el SMS falla en llegar al teléfono del usuario, también puede hacer clic en la URL de la imagen o utilizar el código QR. Además, también hay una guía de instalación disponible que explica cómo instalar la aplicación.
El modo en el que se instala iBanking es bastante común, pero es la primera vez que vemos una aplicación para móviles que está dirigida a usuarios de Facebook para realizar un fraude. A pesar que el doble factor de autenticación de Facebook está presente desde hace un tiempo, puede ser que haya una cantidad de creciente de personas que están empezando a usarlo, haciendo que el robo de cuentas a través de métodos tradicionales se vuelva inefectivo. También puede ser una buena manera para hacer que el usuario instale iBanking en su teléfono, para que los botmasters puedan utilizar las otras funcionalidades de espía de iBanking.
iBanking
iBaking es detectado por ESET como Android/Spy.Agent.AF, y se trata de una aplicación que muestra complejas características en comparación con anterior malware bancario para móviles, tal como Perkele. Puede ser utilizado en combinación con cualquier otro malware capaz de inyectar código en una página web y generalmente es usado para redirigir SMS entrantes para poder sortear el doble factor de autenticación. Como el análisis técnico de iBanking ya fue realizado, no estudiamos profundamente esta muestra, pero en el futuro es posible que lo publiquemos.
Tal como ya dijimos, el componente para móviles de Perkele ya había sido utilizado en algunas campañas de Win32/Qadars para poder sobrepasar el método de doble factor de autenticación impuesto por algunos bancos, el mismo objetivo con el cual ahora se está utilizando iBanking. Esto no es una sorpresa ya que creemos que todas las inyecciones web implementadas por los operadores de Win32/Qadars son compradas en foros clandestinos, aunque no estén atadas a ninguna plataforma en particular. Por el otro lado, dado que esta inyección de código web está disponible a través de un conocido codificador de webinject, en el futuro la aplicación iBanking podría ser distribuida por otros troyanos bancarios. Inclusive, es bastante posible que comencemos a ver componentes móviles apuntándole a otros servicios web populares que también implementen un método de doble autenticación a través del teléfono móvil del usuario.
ZitMo, SpitMo, Citmo, Perkele e iBanking son todos componentes móviles que han sido utilizados en el pasado por troyanos bancarios. Los últimos dos no fueron exclusivos de un malware específico y estuvieron en venta en varios foros clandestinos. Esta "comoditización" del malware bancario para móviles le ha dado a muchos troyanos bancarios pequeños la posibilidad de sortear los métodos de doble factor de autenticación implementados por bancos. Ahora que muchos servicios web conocidos como Facebook también están siendo blanco de malware para móviles, será interesante ver si otros tipos de malware comenzarán a utilizar inyecciones web. ¿Veremos funcionalidades de inyección de contenido y malware mobile utilizado en tipos de malware no-financieros con el objetivo de tomar el control de cuentas en servicios web populares? El tiempo lo dirá, pero a partir de la comoditización del malware para móviles y las fugas de código fuente asociadas, es una posibilidad bastante cierta.
SHA1 Hashes
Win32/Qadars: acd994ac60c5b8156001a7e54f91413501394ca3
Android/Spy.Agent.AF: fc13dc7a4562b9e52a8dff14f712f2d07e47def4
Traducción del post de Jean-Ian Boutin en We Live Security.