iBanking est une application malveillante qui permet à un pirate d’espionner les communications faites à partir d’appareils infectés. Elle est capable de capter les SMS de l’appareil ou même les appels entrants ou sortants. Elle aurait été vendue pour être utilisée par des chevaux de Troie dans le but de contourner un système d’authentification bancaire à deux facteurs nommé mTAN (mobile Transaction Authorization Number). En effet, mTAN est, depuis quelque temps, utilisé par des géants du web tels que Facebook, Gmail ou encore Twitter, ce qui en fait une nouvelle cible pour les pirates.Les chercheurs de la société de sécurité informatique ESET ont découvert une nouvelle variante du cheval de Troie Qadars qui injecte du code JavaScript malveillant dans des pages Facebook lorsqu’elles sont ouvertes à partir d’un appareil infecté. Ce type de cheval de Troie est connu pour voler des informations bancaires dans le but d’effectuer des opérations frauduleuses. En fait, il s’agit d’une version modifiée d’iBanking. Sauf que cette fois-ci, les pirates ne ciblent pas les informations bancaires, mais plutôt les informations d’authentification à Facebook.
Lorsqu’un utilisateur tente de se connecter à une page Facebook à partir d’un appareil mobile infecté, le programme lui demande d’indiquer son numéro de téléphone ainsi que l’OS de son appareil mobile. Une fois que c’est fait, elle demande gentiment à l’utilisateur de régler son téléphone afin de se procurer les droits d’administrateur. Elle utilise WebInject pour injecter le code JavaScript malveillant dans la page Facebook demandée afin de simuler une application mobile de génération de codes d’authentification mTAN pouvant être utilisés à la place des mots de passe Facebook.
Pour aboutir à ses fins, l’application envoie un message au numéro de téléphone que l’utilisateur a saisi ; dans le cas où l’utilisateur n’a pas reçu de message, il lui est recommandé de suivre un lien malveillant lui permettant d’installer l’application de génération des codes.
Jean-Lan Boutin, chercheur en sécurité chez ESET, explique que « la façon dont iBanking est installé sur le mobile de l'utilisateur est assez fréquente, mais c'est la première fois qu’ils ont vu une telle application mobile ciblant les utilisateurs de Facebook pour fraude de compte ». Il explique que les pirates peuvent exploiter iBanking pour voler les codes d’authentification mTAN que Facebook envoie à ses utilisateurs vu que l’application possède les capacités de détection d’SMS.
Une autre option serait que les pirates utilisent WebInjects sur Facebook afin de pouvoir mieux répandre des malwares sur un plus grand nombre d’appareils mobiles. Toutefois, aucune conclusion n’a encore été tirée par la société sur les objectifs réels des pirates. Selon Jean-Lan Boutin, « maintenant que les géants du web tels que Facebook sont également visés par les logiciels malveillants mobiles, il sera intéressant de voir que d'autres types de logiciels malveillants commenceront à utiliser WebInjects ».
Source : blog ESET
Et vous ?
Avez-vous remarqué ce malware ? Que pensez-vous de la façon dont-il procède ?