EventBot ist bereit, Online-Banking-Passwörter und 2FA-Bestätigungscodes zu stehlen

Obwohl sich die Online-Bedrohungslandschaft ständig ändert, ist die Anzahl der neuen Namen, die darauf erscheinen, nicht wirklich so groß. Tatsächlich handelt es sich bei den meisten sogenannten neuen Malware-Familien entweder um überarbeitete Versionen bestehender Bedrohungen oder um Sammlungen von Modulen und Komponenten, die bekannten Stämmen gestohlen und unter einem neuen Namen zusammengestellt wurden. Sicherheitsforscher sehen selten brandneue Malware-Beispiele, die von Grund auf neu geschrieben wurden, und die wenigen Bedrohungen, die von Grund auf neu erstellt wurden, sind normalerweise nicht anspruchsvoll und haben eine relativ kurze Lebensdauer. Es gibt jedoch Ausnahmen zu diesen Regeln, und es sieht so aus, als ob EventBot eine davon sein könnte.

EventBot - eine brandneue Android-Malware-Familie, die auf mehr als 200 Bankanwendungen abzielt

Anfang März stießen Sicherheitsforscher von Cybereason auf einen zuvor nicht dokumentierten Android-Banking-Trojaner namens EventBot, der sich bei näherer Betrachtung als brandneu herausstellte. Tatsächlich befindet sich die Malware noch in der Entwicklung. Wenn sie es starten, planen die Gauner, es als Android-Version verschiedener Softwareprodukte wie Adobe Flash und Microsoft Word zu maskieren, aber bis dahin haben sie anscheinend entschieden, dass sie viel Arbeit zu tun haben.

Innerhalb weniger Wochen fanden die Forscher von Cybereason nicht weniger als vier verschiedene Versionen des EventBot-Trojaners. Jeder von ihnen kam mit neuen einzigartigen Funktionen, die es besser als die vorherigen machten.

In einem Interview für TechCrunch sagte Assaf Dahan, Leiter der Bedrohungsforschung bei Cybereason, dass die Entwickler von EventBot viele Ressourcen in ihre Erstellung investiert haben. Das Ergebnis ist eine hochentwickelte und äußerst leistungsfähige Banking-Malware.

Das Hauptziel von EventBot besteht darin, die Anmeldeinformationen der Opfer für "über 200" Bank-, Geldtransfer- und Kryptowährungsanwendungen stillschweigend zu stehlen. Es kann jedoch noch viel mehr.

Wie EventBot funktioniert

Bei der Installation fordert EventBot eine Vielzahl von Berechtigungen an, die für den Betrieb der Malware unerlässlich sind. Danach fordert es den Zugriff auf die Eingabehilfen des Telefons an und lädt eine Konfigurationsdatei von seinem Command & Control (C&C) -Server herunter. Mit den Berechtigungen, die es während der Installation erhalten hat, wird eine Datei erstellt und mit Informationen über das gefährdete Gerät und die darauf installierten Apps gefüllt. Diese Datei wird über eine verschlüsselte Verbindung an C&C zurückgesendet, und dann kann der eigentliche böswillige Vorgang gestartet werden.

Wie bereits erwähnt, erhält EventBot derzeit regelmäßige Updates. Die neuen Versionen machen es nicht nur schwieriger zu erkennen, sondern auch vielseitiger. Zusätzlich zu Verbesserungen wie einem stärkeren Verschlüsselungsmechanismus für die Kommunikation mit dem C&C fügen die Gauner Funktionen hinzu, mit denen EventBot Tastenanschläge aufzeichnen, Benachrichtigungen von anderen Anwendungen lesen und SMS-Nachrichten abfangen kann. Infolgedessen können die Betreiber von EventBot theoretisch die Einmalkennwörter stehlen, die Sie als Textnachrichten erhalten, die Zwei-Faktor-Authentifizierung umgehen und Ihr Konto gefährden. Das ist die Theorie, aber was ist mit der Praxis?

Wie gefährlich kann EventBot sein?

Dies hängt weitgehend davon ab, wie die Gauner die Opfer infizieren wollen. App Stores von Drittanbietern waren traditionell ein nützliches Tool für die Verbreitung von Android-Malware. Nach einer Reihe umfangreicher Angriffe wurden jedoch viele Menschen auf die damit verbundenen Gefahren aufmerksam und luden Apps nur von Google Play herunter.

In der Zwischenzeit hat Google den Überprüfungsprozess im offiziellen App Store von Android verbessert. Gelegentliche Vorfälle beweisen jedoch, dass die Sicherheit des gesamten Ökosystems nicht so gut ist, wie sie sein sollte.

Angesichts des Zeit- und Arbeitsaufwands von EventBot ist davon auszugehen, dass die Gauner versuchen werden, einen überzeugenden Infektionsvektor zu finden, der eine erhebliche Anzahl von Menschen austrickst. Es ist nicht klar, wann sie die Malware auf die Welt bringen wollen, was bedeutet, dass Sie jetzt genauso vorsichtig sein können.