Skip to main content

Facebook-brukere rettet mot iBanking Android trojan app

Cyberkriminelle har begynt å bruke en sofistikert Android Trojan-app designet for e-banking svindel for å målrette Facebook-brukere, muligens i et forsøk på å omgå tofaktors autentiseringsbeskyttelse på det sosiale nettverket.

Sikkerhetsforskere fra antivirusleverandøren ESET har identifisert en Ny variant av en databank Trojan kalt Qadars som spruter falsk JavaScript-kode inn på Facebook-sider når den åpnes i en nettleser fra et infisert system. Den injiserte koden genererer en melding som instruerer brukere å laste ned og installere Android-malware som kan stjele autentiseringskoder som sendes til telefonene via SMS.

Disse angrepene i nettleseren er kjent som webinjects og har lenge vært brukt av datamaskinen trojanere

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Webinjects er også vant til vanlige bruksområder. å vise meldinger som instruerer brukere å laste ned og installere ondsinnede applikasjoner på sine mobiltelefoner ved å presentere dem som sikkerhetsapps som kreves av finansinstitusjoner. I virkeligheten er de rogue mobile appene utformet for å stjele mobilnummer for transaksjonsautorisasjon (mTAN) og andre engangspassord sendt av banker via SMS.

I februar rapporterte sikkerhetsforskere fra RSA, sikkerhetsdivisjonen til EMC, at kildekoden for en avansert Android Trojan kalt iBanking ble utgitt på et underjordisk forum og advart om at denne utviklingen vil tillate flere cyberkriminelle å innlemme denne mobile trusselen i deres fremtidige operasjoner.

Når det er installert på en Android-telefon, kan iBanking fange innkommende og utgående tekstmeldinger ; kan omdirigere anrop til et forhåndsdefinert telefonnummer; kan ta opp lyd fra omgivelsene ved hjelp av enhetens mikrofon og kan stjele anropshistorikkloggen og telefonboken.

Forfatterne til Qadars-datamaskinens trojanske var raske til å vedta iBanking, ifølge en ny rapport fra forskere fra ESET, men I stedet for å bruke den mot nettbankbrukere ser de ut til å være rettet mot kontoer på Facebook.

"Gjennom overvåking av banken Trojan Win32 / Qadars [...] har vi vært vitne til en type webinjekt som var helt nytt for oss: det bruker JavaScript, ment å bli injisert i Facebook-nettsider, som forsøker å lokke brukeren til å installere et Android-program, sier ESET malwareforsker Jean-Ian Boutin onsdag i et blogginnlegg.

Hva du kan forvente hvis du er infisert

Når brukere logger på Facebook fra en datamaskin som er infisert med Qadars, vil de se en skyggefull melding som informerer dem om at "på grunn av et økende antall forsøk for å få ulovlig tilgang til personopplysninger fra våre brukere og for å forhindre c forstyrrede sidedata for å spre Facebook-administrasjon introduserer nytt ekstra sikkerhetssystem. "

Dette påståtte beskyttelsessystemet presenteres som et mobilprogram som genererer unike autentiseringskoder som kan brukes i stedet for vanlige passord. For å få søknaden, blir brukerne bedt om å angi operativsystemet til mobiltelefonen og deres telefonnummer. De blir deretter sendt til en side med en nedlastingslink og en tilsvarende QR-kode.

Programmet som tilbys til Android-enhetseiere er en versjon av iBanking Trojan-appen som har blitt modifisert for å se som et Facebook-program for å generere en- tid passord. Under installasjonen instrueres brukerne om å aktivere Android-innstillingen som tillater installering av apper som er hentet fra ukjente kilder, og blir bedt om å gi tillatelsen til enhetsadministratoren.

"Måten iBanking er installert på brukerens mobil, er ganske vanlig, men det er den første gangen vi har sett en slik mobilapplikasjon som målretter mot Facebook-brukere for kontrasvindel, sier Boutin.

Det er mulig at angriperne bruker iBanking til å stjele sikkerhetskoder sendt via SMS av Facebooks legitime tofaktors autentiseringssystem. Det kan være at det er et økende antall mennesker som bruker denne beskyttelsesfunksjonen på Facebook, noe som gjør kontoer vanskeligere å gå på kompromiss med tradisjonelle tyveriangrep, sier Boutin. Men det er også mulig at angriperne har valgt å bruke webinjects på Facebook fordi det er En effektiv måte å distribuere malware på til mange brukere uten å bekymre seg for hvilke banksteder de regelmessig samhandler med.

"Nå som vanlige webtjenester som Facebook er også rettet mot mobil malware, vil det være interessant å se om andre typer malware vil begynne å bruke webinjects, sier Boutin. "Tiden vil fortelle, men på grunn av commoditization av mobil malware og tilhørende kode kilde lekkasjer, dette er en tydelig mulighet."