Bộ mã nguồn di động iBanking bot bị rò rỉNhững nhà nghiên cứu thuộc RSA – bộ phận an ninh của EMC vừa tìm thấy mã nguồn bảng điều khiển chương trình di động iBanking bị rò rỉ trên một diễn đàn UG (underground). Ngoài mã nguồn từ phía server, các tệp tin bị rò rỉ cũng bao gồm các builder (tập lệnh thực thi) có thể mở các gói file APK iBanking và đóng gói lại với cấu hình khác, chủ yếu cung cấp cho những kẻ lừa đảo với phương tiện để tạo ra những ứng dụng duy nhất cho chúng.
Chương trình di động iBanking này mới đây đã xuất hiện trên thị trường mã độc di động, nó được bán trong các hệ thống underground giá 5.000 USD vào cuối năm ngoái. Nó được nhìn thấy đầu tiên khi lây lan thông qua các tấn công “inject” (tiêm) mã HTML vào các trang web ngân hàng, chúng sử dụng các kỹ thuật tấn công “social engineering” nhằm lừa các nạn nhân tải về chương trình có tên dạng như “Application Security” (các ứng dụng bảo mật) cho các thiết bị Android của họ.
Phần mềm chứa các mã độc hại nguy hiểm hơn là chương trình nghe lén tin nhắn SMS, cung cấp các tính năng như gọi chuyển hướng, khi lại âm thanh (sử dụng mic của thiết bị) và đánh cắp dữ liệu. Đây là ví dụ về sự phát triển liên tục trong không gian mã độc hại và RSA nói rằng bây giờ có thể thấy được thế hệ tiếp theo của các ứng dụng mã độc được phát triển và thương mại hóa trong thế giới ngầm, chúng càng trở nên nguy hiểm với việc có thể điều khiển trên nền tảng web và đóng gói thêm nhiều tính năng đánh cắp dữ liệu.
Để đánh lừa người dùng, ứng dụng iBanking cải trang dưới các dạng khác nhau. Trong một bài phân tích trên blog, chuyên gia nghiên cứu Lior Ben-Porat của RSA FirstWatch cho biết: “Trong quá trình phân tích chúng tôi nhận thấy có hai mẫu chính: một mẫu tận dụng logos và monikers (theo sự phân tích của chúng tôi tại một tổ chức tài chính nổi tiếng), và một mẫu khác giả dạng ứng dụng bảo mật. Ngoài ra, trong quá trình cài đặt, các ứng dụng cố sắp đặt người sử dụng phải cung cấp quyền quản trị, nhằm làm cho việc gỡ bỏ trở nên khó khăn hơn.”
Sự rò rỉ mã nguồn này cho phép tin tặc dễ dàng kết hợp các cuộc tấn công trên di động và trên máy tính, cho phép chúng kiểm soát hoàn toàn smartphones của các nạn nhân, đồng thời có thể đẩy mạnh dịch vụ botnet di động (mobile-botnet-as-a-service) trên thị trường ngầm.
Việc xác thực hai bước trở nên không hiệu quả lắm khi những kẻ lừa đảo có được quyền kiểm soát các thiết bị OOB. “Điều này nhấn mạnh sự cần thiết của các giải pháp xác thực mạnh hơn có khả năng xác nhận, định danh người dùng bằng việc sử dụng nhiều yếu tố bao gồm các giải pháp sinh trắc học. Sau đó là hỗ trợ trong việc giảm sự phụ thuộc và sự can thiệp của ý thức con người vào quá trình xác thực, làm cho những cuộc tấn công social engineering bị vô hiệu hóa”, Lior Ben-Prat nói.
Thông tin chi tiết hơn tại blog https://blogs.rsa.com/ibanking-mobile-bot-source-code-leaked/
