Το EventBot είναι έτοιμο να κλέψει κωδικούς πρόσβασης για τραπεζικούς λογαριασμούς και κωδικούς επαλήθευσης 2FA

Αν και το διαδικτυακό τοπίο απειλών αλλάζει συνεχώς, ο αριθμός των νέων ονομάτων που εμφανίζονται σε αυτό δεν είναι στην πραγματικότητα τόσο μεγάλος. Στην πραγματικότητα, οι περισσότερες από τις λεγόμενες νέες οικογένειες κακόβουλου λογισμικού είναι είτε ανανεωμένες εκδόσεις υπαρχουσών απειλών είτε συλλογές ενοτήτων και στοιχείων που έχουν κλαπεί από γνωστά στελέχη και συγκεντρώνονται με νέο όνομα. Οι ερευνητές ασφαλείας σπάνια βλέπουν ολοκαίνουργια δείγματα κακόβουλου λογισμικού που έχουν γραφτεί από την αρχή και οι λίγες απειλές που έχουν δημιουργηθεί από το μηδέν είναι συνήθως μη εξελιγμένες και ζουν μάλλον μια σύντομη ζωή. Υπάρχουν εξαιρέσεις σε αυτούς τους κανόνες, ωστόσο, και φαίνεται ότι το EventBot μπορεί να είναι ένας από αυτούς.

EventBot - μια ολοκαίνουργια οικογένεια κακόβουλου λογισμικού Android που στοχεύει περισσότερες από 200 τραπεζικές εφαρμογές

Στις αρχές Μαρτίου, οι ερευνητές ασφάλειας από το Cybereason σκόνταψαν ένα προηγούμενο μη τεκμηριωμένο trojan Android banking που ονομάζεται EventBot ότι, μετά από στενότερη επιθεώρηση αποδείχθηκε ολοκαίνουργιο. Στην πραγματικότητα, το κακόβουλο λογισμικό βρίσκεται ακόμη σε εξέλιξη. Όταν το ξεκινούν, οι απατεώνες σκοπεύουν να το κρύψουν ως εκδόσεις Android διαφόρων προϊόντων λογισμικού όπως το Adobe Flash και το Microsoft Word, αλλά μέχρι τότε, προφανώς έχουν αποφασίσει ότι έχουν πολλή δουλειά να κάνουν.

Σε λίγες εβδομάδες, οι ερευνητές του Cybereason βρήκαν τουλάχιστον τέσσερις διαφορετικές εκδόσεις του trojan EventBot. Κάθε ένα από αυτά ήρθε με νέα μοναδικά χαρακτηριστικά που το έκαναν καλύτερα από τα προηγούμενα.

Σε συνέντευξή του στο TechCrunch, ο Assaf Dahan, επικεφαλής της έρευνας απειλών στο Cybereason είπε ότι οι προγραμματιστές του EventBot έχουν επενδύσει πολλούς πόρους στη δημιουργία τους και το αποτέλεσμα είναι ένα εξαιρετικά εξελιγμένο και εξαιρετικά ικανό κακόβουλο λογισμικό τραπεζικής.

Ο κύριος στόχος του EventBot είναι να κλέψει ήσυχα τα διαπιστευτήρια σύνδεσης των θυμάτων για εφαρμογές "άνω των 200" τραπεζών, μεταφοράς χρημάτων και κρυπτονομισμάτων. Μπορεί όμως να κάνει πολύ περισσότερα από αυτό.

Πώς λειτουργεί το EventBot

Κατά την εγκατάσταση, το EventBot ζητά ένα ευρύ φάσμα δικαιωμάτων, τα οποία είναι απαραίτητα για τις λειτουργίες του κακόβουλου λογισμικού. Μετά από αυτό, ζητά πρόσβαση στις υπηρεσίες προσβασιμότητας του τηλεφώνου και κατεβάζει ένα αρχείο διαμόρφωσης από τον διακομιστή Command & Control (C&C). Χρησιμοποιώντας τα δικαιώματα που λαμβάνει κατά τη διάρκεια της εγκατάστασης, δημιουργεί ένα αρχείο και το συμπληρώνει με πληροφορίες σχετικά με την παραβιασμένη συσκευή και τις εφαρμογές που είναι εγκατεστημένες σε αυτήν. Αυτό το αρχείο αποστέλλεται πίσω στους C&C μέσω κρυπτογραφημένης σύνδεσης και στη συνέχεια μπορεί να ξεκινήσει η πραγματική κακόβουλη λειτουργία.

Όπως αναφέραμε ήδη, το EventBot λαμβάνει επί του παρόντος τακτικές ενημερώσεις και οι νέες εκδόσεις το καθιστούν όχι μόνο πιο δύσκολο να εντοπιστεί, αλλά και πιο ευέλικτο. Εκτός από βελτιώσεις όπως ένας ισχυρότερος μηχανισμός κρυπτογράφησης για την επικοινωνία με τους C&C, οι απατεώνες προσθέτουν λειτουργίες που επιτρέπουν στο EventBot να καταγράφει πληκτρολογήσεις, να διαβάζει ειδοποιήσεις από άλλες εφαρμογές και να παρακολουθεί μηνύματα SMS. Ως αποτέλεσμα, οι χειριστές του EventBot μπορούν θεωρητικά να κλέψουν τους εφάπαξ κωδικούς πρόσβασης που λαμβάνετε ως μηνύματα κειμένου, να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων και να θέσουν σε κίνδυνο τον λογαριασμό σας. Αυτή είναι η θεωρία, αλλά τι γίνεται με την πρακτική;

Πόσο επικίνδυνο μπορεί να είναι το EventBot;

Αυτό εξαρτάται σε μεγάλο βαθμό από το τι σκοπεύουν να χρησιμοποιήσουν οι απατεώνες για να μολύνουν τα θύματα. Τα καταστήματα εφαρμογών τρίτων ήταν παραδοσιακά ένα χρήσιμο εργαλείο για τη διανομή κακόβουλου λογισμικού Android, αλλά μετά από μια σειρά επιθέσεων μεγάλης κλίμακας, πολλοί άνθρωποι γνώρισαν τους κινδύνους που σχετίζονται με αυτά και άρχισαν να κατεβάζουν εφαρμογές μόνο από το Google Play.

Εν τω μεταξύ, η Google έκανε κάποιες βελτιώσεις στη διαδικασία προβολής στο επίσημο κατάστημα εφαρμογών του Android, αλλά περιστασιακά περιστατικά αποδεικνύουν ότι η ασφάλεια ολόκληρου του οικοσυστήματος δεν είναι τόσο καλή όσο θα έπρεπε.

Δεδομένου του χρόνου και της προσπάθειας που δόθηκε στο EventBot, είναι λογικό να υποθέσουμε ότι οι απατεώνες θα προσπαθήσουν να βρουν έναν πειστικό φορέα μόλυνσης που θα εξαπατήσει έναν σημαντικό αριθμό ανθρώπων. Δεν είναι σαφές πότε σκοπεύουν να απελευθερώσουν το κακόβουλο λογισμικό στον κόσμο, πράγμα που σημαίνει ότι μπορεί επίσης να αρχίσετε να είστε λίγο πιο προσεκτικοί τώρα.