Code JavaScript sur Facebook pour télécharger l’app malveillante iBanking

iBanking prenait généralement pour cible les sites internet de finance

Le programme malveillant est mobile, et aussi social aujourd’hui

Une nouvelle combinaison « qui fait d’une pierre deux coups » utilise l’injection malveillante de code JavaScript sur Facebook pour tenter d’inciter les utilisateurs à télécharger l’app malveillante iBanking sur leur appareil androïde.

Comment éviter l’infection

En tout premier lieu : Si vous vous connectez sur Facebook à partir de votre ordinateur et qu’on vous demande mystérieusement de télécharger un « logiciel unique d’authentification sûr et sans danger » sur votre androïde, n’en faites rien.

Si cela arrive, c’est que votre ordinateur est déjà infecté et que le téléchargement du logiciel infectera aussi votre androïde. Dans le cas où vous seriez témoin d’une telle demande, nous vous encourageons à désinfecter votre ordinateur.

Faites attention a ibanking l application androide malveillante sur facebook

iBanking circonstancié

L’invitation à télécharger un “logiciel unique” utilise le piratage psychologique pour tenter d’inciter les utilisateurs de Facebook à télécharger une app soit disant de sécurité qui offrira une authentification à deux facteurs pour leur compte Facebook.

En réalité cette « app de sécurité » est iBanking, un programme malveillant capable de :

  • Intercepter la vraie authentification à deux facteurs envoyée par de vrais fournisseurs de service
  • Capturer le texte de SMS entrants et sortants
  • Rediriger des appels sortants vers un numéro de téléphone pré programmé
  • Capturer de l’audio en activant le microphone
  • Voler des métadonnées – le journal des appels et la liste des contacts

Auparavant, iBanking prenait généralement pour cible les sites internet de finance, en utilisant la même méthode, l’injection de code JavaScript malveillant pour tenter d’inciter les utilisateurs à effectuer des téléchargements. En général, le formulaire demande le numéro de téléphone de l’utilisateur et son type d’appareil, et envoie ensuite un lien de téléchargement dans un message SMS vers le mobile. De là, le téléchargement malveillant contient des instructions d’installation détaillées, en indiquant même aux utilisateurs comment autoriser l’installation de l’app provenant de sources inconnues dans les paramètres de l’androïde.

iBanking a acquis une certaine notoriété en février, lorsque son code source a été dévoilé sur un forum clandestin, le rendant ainsi largement disponible aux auteurs de programmes malveillants dans le monde entier. Bien que la stratégie fondamentale du programme malveillant – infecter en passant par le Web pour ensuite contrôler l’activité d’un appareil mobile – n’a rien d’original, sa récente apparition sur Facebook est une évolution et cause d’inquiétude. Tout simplement : il est beaucoup plus facile et rentable de viser un site de réseaux sociaux utilisé par des milliards de personne que de cibler une poignée de sites de finance qu’un utilisateur est susceptible ou non d’utiliser. De plus, l’insertion malveillante sur le web peut être très facilement confondue avec une demande réelle pour permettre une authentification à deux facteurs, spécialement pour des utilisateurs rendus un peu paranoïaques quant à leur sécurité personnelle par la récente crise Heartbleed.

Vous protéger d’iBanking

Emsisoft Anti Malware détecte le programme malveillant iBanking comme le Android.Trojan.SMSSend.HM (B).
SHA-1: fc13dc7a4562b9e52a8dff14f712f2d07e47def4

En outre, notre technologie d’analyse comportementale est conçue pour stopper des injections de code JavaScript malveillant comme celui qui propage iBanking avant d’infecter votre ordinateur.

Comment faire d’une pierre deux coups ?

Très bonne journée sans programme malveillant pour téléphone mobile !