EventBot er klar til at stjæle onlinebankekoder og 2FA-verifikationskoder
Selvom online-trussellandskabet ændrer sig hele tiden, er antallet af nye navne, der vises på det, faktisk ikke så stort. Faktisk er de fleste af de såkaldte nye malware-familier enten fornyede versioner af eksisterende trusler eller samlinger af moduler og komponenter stjålet fra kendte stammer og sat sammen under et nyt navn. Sikkerhedsforskere ser sjældent splinterny malware-prøver, der er skrevet fra grunden, og de få trusler, der er blevet bygget fra bunden, er normalt usofistiske og lever et ret kort liv. Der er dog undtagelser fra disse regler, og det ser ud til, at EventBot muligvis er en af dem.
EventBot - en helt ny Android malware-familie, der er målrettet mod mere end 200 bankapplikationer
I begyndelsen af marts faldt sikkerhedsforskere fra Cybereason over en tidligere udokumenteret Android-bank-trojan kaldet EventBot, som ved nærmere undersøgelse viste sig at være helt ny. Faktisk er malware stadig under udvikling. Når de lancerer det, planlægger skurkerne at maske det som Android-versionerne af forskellige softwareprodukter som Adobe Flash og Microsoft Word, men indtil da har de tilsyneladende besluttet, at de har en masse arbejde at gøre.
I løbet af få uger fandt Cybereasons forskere ikke mindre end fire forskellige versioner af EventBot-trojanen. Hver af dem kom med nye unikke funktioner, der gjorde det bedre end de foregående.
I et interview til TechCrunch sagde Assaf Dahan, leder af trusselforskning på Cybereason, at EventBots udviklere har investeret en masse ressourcer i deres oprettelse, og resultatet er en meget sofistikeret og yderst kapabel bank malware.
EventBots hovedmål er roligt at stjæle ofrenes loginoplysninger til "over 200" bank-, pengeoverførsels- og cryptocurrency-applikationer. Det kan dog gøre meget mere end det.
Sådan fungerer EventBot
Ved installation beder EventBot om en bred vifte af tilladelser, som er vigtige for malware's operationer. Derefter anmoder den om adgang til telefonens tilgængelighedstjenester og downloader en konfigurationsfil fra dens Command & Control (C&C) server. Ved hjælp af de tilladelser, den har modtaget under installationen, opretter den en fil og udfylder den med oplysninger om den kompromitterede enhed og de apps, der er installeret på den. Denne fil sendes tilbage til C&C via en krypteret forbindelse, og derefter kan den virkelige ondsindede handling starte.
Som allerede nævnt modtager EventBot i øjeblikket regelmæssige opdateringer, og de nye versioner gør det ikke kun sværere at opdage, men også mere alsidigt. Ud over forbedringer som en stærkere krypteringsmekanisme til kommunikation med C&C tilføjer skurkerne funktioner, der lader EventBot registrere tastetryk, læse meddelelser fra andre applikationer og aflytte SMS-beskeder. Som et resultat kan EventBots operatører teoretisk stjæle de engangsadgangskoder, du modtager som tekstbeskeder, omgå tofaktorautentisering og kompromittere din konto. Det er teorien, men hvad med praksis?
Hvor farlig kan EventBot være?
Dette afhænger stort set af, hvad skurkerne planlægger at bruge til at inficere ofre. Tredjeparts-appbutikker har traditionelt været et nyttigt værktøj til at distribuere Android malware, men efter en række store angreb blev mange mennesker opmærksomme på farerne forbundet med dem og begyndte kun at downloade apps fra Google Play.
I mellemtiden foretog Google nogle forbedringer af screeningsprocessen i Android's officielle app store, men lejlighedsvis hændelser beviser, at hele økosystemets sikkerhed ikke er så god, som den skulle være.
I betragtning af hvor meget tid og kræfter der blev lagt i EventBot, er det rimeligt at antage, at skurkerne vil forsøge at komme med en overbevisende infektionsvektor, der vil narre et betydeligt antal mennesker. Det er ikke klart, hvornår de planlægger at slippe malware ud i verden, hvilket betyder, at du lige så godt kan begynde at være lidt mere forsigtig lige nu.
