El malware iBanking en Android se disfraza de aplicaciones legítimas


En los mercados del cibercrimen underground, iBanking es una conocida pieza de malware, y uno de los más caros, también.



"IBanking a menudo se disfraza de aplicaciones para redes sociales, aplicaciones para la banca o en aplicaciones de seguridad legítimas, principalmente utiliza este engaño para evitar las medidas de seguridad empleadas por los bancos, intercepta las contraseñas enviandolas a través de SMS," afirman los investigadores de Symantec. "También se puede utilizar para construir botnets en móviles y llevar a cabo vigilancia encubierta en las víctimas."

La aplicación en sí ya tiene las siguientes capacidades:

  • Robo de información del teléfono y contactos
  • Intercepta mensajes SMS y llamadas entrantes y salientes, y las sube a un servidor controlado por los delincuentes
  • Redirige las llamadas; grabación de audio con la ayuda del micrófono del teléfono y lo sube al servidor remoto antes mencionado
  • Previene la eliminación de la aplicación o limpieza / restauración del teléfono a los ajustes de fábrica (si se habilitan los derechos del administrador)
  • Acceso al sistema de archivos del teléfono y al listado de los programas instalados; entre otras cosas más.



Las primeras versiones de la aplicación fueron vistas por primera vez en agosto del 2013, y sólo eran capaces de redirigir las llamadas y robar mensajes SMS. Mientras tanto, el creador y propietario del malware - un individuo que eligió el seudónimo en línea de "GFF" - ha ido añadiendo funcionalidades poco a poco al producto final que ahora cuesta hasta 5.000 dólares en EE.UU. (el comprador recibe una suscripción, actualizaciones y soporte técnico).

El alto precio tiende a alienar a la mayoría de los usuarios potenciales, y los que optan por comprar una suscripción son por lo general grupos de profesionales dedicados a delitos informáticos bien establecidos. Ellos continúan pagando por él a pesar de que el código fuente del software malicioso se ha filtrado en febrero y está disponible de forma gratuita - se supone que siguen pagando por las actualizaciones, nuevas características y el soporte técnico.

Los investigadores de Symantec señalan que después que se filtró el código fuente, se produjo un aumento significativo de los ataques dirigidos por medio de iBanking.

En casos anteriores los atacantes que utilizaron la aplicación son conocidos como Neverquest crew que opera desde las navidades en Europa y utiliza una combinación de robo de información con el troyano Snifula; otro factor de amenaza del Este europeo es conocido como "Zerafik", que atacó al banco holandés ING; además de otro factor de amenaza conocido como "Ctouma" que utilizan una primera versión de la aplicación orientada a los usuarios de un banco tailandés.

"Si bien Tailandia en sí no se asocia típicamente con los ataques de fraude financiero, es posible que estos ataques pueden haber servido como un banco de pruebas para las primeras versiones del malware, con el fin de probar su eficacia", anotaron los investigadores.

Los usuarios que se infectan comúnmente con iBanking es a través de la ejecución de una aplicación que parece ser legitima y no del troyano financiero que se instala en el sistema.

"El atacante lanza un pop-up instando a la víctima a instalar una aplicación Android para mayor seguridad", explican. "La víctima rellena el formulario con el número de su móvil y demás detalles y se lo envía al atacante, quien envía un SMS con el link de descarga para iBanking en el móvil de la víctima".

La víctima descarga y ejecuta la aplicación e iBanking empieza a enviar los datos a los atacantes.

Es interesante señalar que el atacante puede controlar la aplicación incluso si el dispositivo infectado no está conectado a Internet. Si lo está, el atacante utiliza HTTP para enviar instrucciones al dispositivo, si no, utiliza mensajes SMS.

Fuente: net-security