iBanking es un malware para Android se propaga vía Facebook y busca
realizar fraudes. Primero, procura dificultar su desinstalación mediante
derechos de administrador.
El Laboratorio de Investigación de ESET detectó iBanking, una
aplicación maliciosa para Android que, cuando es instalada en un teléfono
móvil, es capaz de espiar las comunicaciones desarrolladas en el mismo. Este
bot tiene la capacidad de interceptar mensajes SMS entrantes y salientes,
redireccionar llamadas e incluso capturar el audio del micrófono del
dispositivo.
Esta aplicación estaba en venta en foros clandestinos y fue utilizada
por varios troyanos bancarios con el objetivo de sobrepasar el método de doble
factor de autenticación en dispositivos móviles. Dentro del mundo financiero,
este método es llamado “número de autorización de transacción móvil” (mTAN en
inglés por “Mobile transaction authorization number”) o mToken, y es utilizado
por varios bancos en el mundo para autorizar operaciones bancarias, pero está
siendo cada vez más usado por servicios de Internet como Gmail, Facebook y
Twitter.
A partir del monitoreo del troyano bancario Win32/Qadars, se ha
observado que el mismo utiliza Javascript y se propaga en páginas de Facebook
buscando tentar a los usuarios a que descarguen una aplicación para Android. Al
ingresar su número telefónico, si la víctima indica que tiene Android, se lo
dirige a una determinada página. Si de
alguna manera el SMS falla en llegar al teléfono del usuario, también puede
hacer clic en la URL de la imagen o utilizar el código QR. Además, también hay
una guía disponible que explica cómo instalar la aplicación.
El modo en el que se instala iBanking es bastante común, pero es la
primera vez que se observa una aplicación para móviles que está dirigida a
usuarios de Facebook para realizar un fraude. A pesar que el doble factor de
autenticación de Facebook está presente desde hace un tiempo, puede ser que
haya una cantidad creciente de personas que están empezando a usarlo, haciendo
que el robo de cuentas a través de métodos tradicionales se vuelva inefectivo.
También puede ser una buena manera para hacer que el usuario instale iBanking
en su teléfono, para que los botmasters puedan utilizar las otras
funcionalidades de espía del malware.
iBanking es detectado por ESET como Android/Spy.Agent.AF, y se trata de
una aplicación que muestra complejas características en comparación con malware
bancario para móviles anteriores.
Más información:
- Welive Security http://www.welivesecurity.com/2014/04/16/facebook-webinject-leads-to-ibanking-mobile-bot/