Как сообщили эксперты из ИБ-компании Symantec, влиятельные российские киберпреступные группировки для атак на финансовые организации используют вредоносное ПО для Android премиум-класса, такое как iBanking. По словам экспертов, он является одним из наиболее дорогостоящих троянов на черном рынке, а его создатель использует хорошо отлаженную бизнес-модель Software-as-a-Service (программное обеспечение как услуга).
Владелец iBanking продает подписку на ПО, в которую также входит стоимость обновлений и технической поддержки, за $5 тыс. Для тех, кто не может оформить подписку, он предлагает заключить сделку – троян в обмен на часть прибыли от его использования. iBanking обычно маскируется под легитимное приложение для online-банкинга, соцсетей или защиты, и в основном используется для обхода безопасности в системах банков, перехватывая одноразовые пароли, которые отправляются в SMS-сообщениях. Кроме того, троян применяется для создания мобильных ботнетов и слежения за пользователями.
iBanking выполняет ряд полезных для злоумышленников функций, таких как переключение контроля между HTTP и SMS в зависимости от интернет-соединения.
Эксперты отмечают, что высокая цена на троян означает, что изначально он был разработан для влиятельных киберпреступных группировок, располагающих большими суммами. Тем не менее, недавно произошедшая утечка исходного кода iBanking вызвала всплеск его активности в последнее время. В связи с этим в ближайшее время стоит ожидать рост количества атак с использованием этого трояна.
Для того чтобы заставить жертву установить iBanking на свое Android-устройство, злоумышленники используют социальную инженерию. Обычно ПК таких пользователей уже инфицированы вредоносным ПО, которое генерирует всплывающие окна, предлагающие установить на смартфон приложение, якобы обеспечивающее дополнительную защиту.
