Его функционал включает в себя возможность перенаправления входящих голосовых вызовов, тайный перехват звуков микрофона, трек геолокации, доступ к файловой системе, а также удалённое распространение мобильных ботнетов, которые используют протоколы HTTP и SMS для общения, в зависимости от текущего состояния сети заражённого телефона.
Злоумышленники используют тактику социальных сетей, чтобы побудить своих жертв к загрузке и установке iBanking на их Android — устройства, пишет gearmix.ru.
Потерпевший к этому моменту, как правило, уже заражён финансовым трояном на своём ПК, который генерирует всплывающее сообщение при посещении сайтов банковской или социальной сети с просьбой установить мобильное приложение в качестве дополнительной меры безопасности.
Из-за высокой цены исходного ПО в 5000 долларов на чёрных рынках не замедлили появиться подделки. Но хакеры WhiteHat надёжно защитили свою разработку, используя шифрование AES, чтобы скрыть содержимое XML файлов, превращая его при расшифровке в огромный файл с информационным мусором.
Даниэль Коэн, аналитик компании RSA FraudAction Group, написал в своём блоге: «Вредоносная программа iBanking показывает, что разработчики мобильного вредоносного ПО осознают необходимость защиты своих ботов против анализа, что указывает на возможное новое направление в этой сфере».
Тем не менее, нашёлся специалист, который добрался до исходного кода iBanking. iBanking продаётся группой, известной как GFF. Любопытно, что высокая цена на iBanking сохранилась даже в первые месяцы после утечки исходного кода. Утечка была проведена кем-то, кто утверждал, что он обнаружил, что смартфон его друга был заражен iBanking.
Он в конечном итоге разыскал команду и канал управления распространением. Хакер, в конце концов, выпустил исходный код на подпольных форумах, что наводит на мысль, что код был получен путём взлома в одной из систем, используемых операторами iBanking.
