Шпионское ПО iBanking – под видом Facebook

Как сообщила компания ESET, среди пользователей Android-устройств распространяется вредоносное приложение iBanking, замаскированное под мобильную версию Facebook. Мобильный бот iBanking с возможностью шпионажа за пользователями известен с конца 2013 г., он был выставлен на продажу на одном из подпольных форумов и использовался банковскими троянами для обхода двухфакторной аутентификации. В феврале нынешнего года исходный код iBanking попал в открытый доступ, в результате чего сегодня злоумышленники используют его все активнее. Решения ESET NOD32 детектируют iBanking как Android/Spy.Agent.AF.

При входе в аккаунт на Facebook пользователь видит на экране окно установки бота iBanking под видом «мобильного приложения Facebook». Не заметив подмены и выполнив указания приложения, он загружает вредоносное ПО. Такой метод установки (Web-инъекция) достаточно распространен, но ранее использовался только для компрометации онлайн-банкинга. Теперь он нацелен на невнимательных или новых пользователей Facebook, которые не могут отличить настоящее мобильное приложение и систему двухфакторной аутентификации от подделки.

Среди функций бота iBanking – переадресация входящих вызовов на заданный номер, отправка SMS на любой номер втайне от владельца устройства, захват входящих и исходящих SMS, кража списка контактов, захват аудиоконтента с помощью микрофона устройства и др. Подобное шпионское ПО чаще всего применяется для кражи данных, необходимых для онлайн-платежей.

Аналитики ESET отмечают, что iBanking реализует более сложные функции, чем обнаруженные ранее мобильные вредоносные программы. Он может использоваться в сочетании с любым ПО, внедряющим вредоносный код в Web-страницу, которому требуется обход двухфакторной аутентификации. Эксперты вирусной лаборатории ESET рекомендуют пользователям мобильных устройств на Android устанавливать приложения только с надежных площадок, просматривать отзывы о программе и разработчике, а также защитить смартфон и планшет мобильным антивирусом.