היזהרו מ iBanking - אפליקציית ריגול לאנדרואיד המופצת בפייסבוק

למאמר הבא
צוות התמיכה ESET ישראל

טרויאני לגניבת פרטי בנק, המכונה iBanking, מסוגל לצותת לכם לשיחות, לקרוא את הודעות ה- SMS שלכם ואפילו להקליט אתכם גם כשהמכשיר שלכם לא בשימוש. כעת האקרים מנסים לקדם את האפליקציה באמצעות קמפיין אגרסיבי בפייסבוק. איך תזהו? היזהרו! קמפיין להפצת תוכנה זדונית למכשירי אנדרואיד מופץ בימים אלו בפייסבוק. כחלק מהקמפיין מקבלים הגולשים ברשת החברתית הודעה מסתורית, שלפיה פייסבוק פיתחה פיצ'ר אבטחה חדש להגנת החשבון שלהם שמבטיח הגנה מפני חטיפת החשבון. כך נראית ההודעה:

 

ובתרגום חופשי: "עקב עליה במספר הניסיונות להשיג גישה לא חוקית למידע האישי של הגולשים שלנו, ועל מנת למנוע הפצה של נתונים פרטיים שנגנבו מדפים שנפרצו, פתחה פייסבוק מערכת אבטחה חדשה אשר מספקת למשתמשים שכבת הגנה נוספת לחשבון שלהם. המערכת הינה חינמית ותשמור עליכם בטוחים. מומחי ה- IT שלנו פיתחו כלי אבטחה ייחודי לאישור זהות המשתמש. בעזרת הכלי הזה אתה לא תזדקק לפרופיל נוסף או לסיסמה נוספת, כל שעליך לעשות הוא להתקין את התוכנה ובכל פעם שתרצה להתחבר לחשבון שלך היא תייצר קוד גישה חד פעמי באמצעות הטלפון שלך. אנחנו דואגים למשתמשים שלנו, אבטחת המידע האישי שלהם נמצאת אצלנו בחשיבות עליונה. בינתיים התוכנה עלולה להיות לא זמינה בחלק ממערכות ההפעלה".

אנחנו מקווים שהתחביר הנוראי שבו כתובה ההודעה היה מספק דיו כדי להרתיע לפחות חלק מהמשתמשים ולהדליק להם נורה אדומה שתמנע בעדם מלספק לתוקפים את מספר הטלפון הנייד שלהם. אך אם זה לא המקרה, יתכן מאוד שהאקרים יוכלו בקרוב להאזין להם שיחות הטלפון, לקרוא את הודעות ה- SMS שלהם ואפילו לצותת לשיחות פרטיות שהם עורכים בקרבת המכשיר שלהם. ואם מישהו יכול לקרוא את הודעות ה SMS שלכם, הוא יכול, פוטנציאלית, לפרוץ לחשבון הבנק שלכם דרך אתר הבנק.

כך עובדת המתקפה:

ההודעה המפוקפקת, שצילום מסך שלה מצורף למעלה, נפתחת בחלון קופץ (פופ אפ) כאשר אתם מחוברים או גולשים בחשבון הפייסבוק שלכם במחשב האישי. ההודעה היא מזויפת כמובן, אך אין זה אומר שאתר פייסבוק נפרץ. למעשה התוקפים מאחורי ההונאה הזו משתמשים בתוכנה זדונית המכונה Qadars כדי להציג את ההודעה המפוקפקת בשם פייסבוק, בניסיון אגרסיבי למדי להדביק מכשירים חכמים בעלי מערכת ההפעלה אנדרואיד בתוכנה זדונית המכונה iBanking.

אם הקורבן הזין את מספר הטלפון שלו במקום שהתבקש לכך בהודעה המזויפת, הוא יקבל הודעה נוספת בה הוא מתבקש להוריד את האפליקציה שאמורה להגן עליו למכשיר שלו. המשתמשים המנוסים יותר יבחינו מיד שהורדת האפליקציה לא מתבצעת מחנות ה Google Play אלא מאתר צד שלישי אחר. ייתכן שהקורבן יצטרך גם לשנות את הגדרות המכשיר שלו על מנת לאפשר את ההורדה, אם הגדרות המכשיר שלו לא מאפשרות התקנת אפליקציות מחוץ לחנות הרשמית.

פה צריכה להיות הזדמנות נוספת לנורה האדומה להידלק - אם פייסבוק באמת הייתה משחררת פיצ'ר אבטחה חדש ומדהים לאבטחת הפרופילים של המשתמשים שלה, על אחת וכמה כזה שמצריך הורדה והתקנה של אפליקציה נוספת על המכשיר שלכם, לא הגיוני יותר שהם היו משתמשים בחנות האפליקציות הרשמית? ומעבר לכך, האם לא הייתם שומעים על זה קודם לכן או קוראים על כך במדורי הטכנולוגיה השונים?

האמת היא, כאמור, שמדובר בהונאה שמטרתה לגרום לכם להתקין אפליקציה זדונית על הסמארטפון האנדרואידי שלכם. ברגע שה- iBanking הותקנה על המכשיר היא מסוגלת לרגל אחר כל פעולה שהמכשיר מבצע, כולל שיחות הטלפון שלכם, הודעות טקסט, מחיקה או העברה של רשימת אנשי הקשר שלכם ויומן השיחות, בנוסף היא מסוגלת גם לבצע הקלטת אודיו באמצעות המיקרופון של המכשיר כשהוא לא בשימוש ולהפוך אותו למכשיר ציתות לכל דבר ואפילו לאתר את מיקומו באמצעות ה- GPS.

האקרים משתמשים ב iBanking על מנת לעקוף את מערכות האימות הכפול של הבנקים על ידי יירוט תשדורת ה-mTAN (קוד האימות החד פעמי שנשלח כחלק משלבי האימות) הנשלח ללקוח באמצעות הודעת SMS על ידי הרבה שירותי בנק מקוונים וכמו כן גם בשירותים מקוונים אחרים, כמו טוויטר, גוגל ואפילו פייסבוק עצמה.

נראה שפושעי הסייבר כבר הגיעו למסקנה שיותר ויותר גולשים מכירים בערך ובצורך של שימוש במנגנוני אימות כפולים, והם משפרים את היכולות של התוכנות הזדוניות שלהם כדי לעקוף אותם. לכן עכשיו זה חשוב מאי פעם לשמור על האנדרואיד שלכם בטוח ולא לתת את המספר שלכם לזרים.