EventBot está listo para robar contraseñas de banca en línea y códigos de verificación 2FA
Aunque el panorama de amenazas en línea cambia todo el tiempo, la cantidad de nuevos nombres que aparecen en él no es realmente tan grande. De hecho, la mayoría de las llamadas nuevas familias de malware son versiones renovadas de amenazas existentes o colecciones de módulos y componentes robados de cepas conocidas y reunidos bajo un nuevo nombre. Los investigadores de seguridad rara vez ven nuevas muestras de malware que se han escrito desde cero, y las pocas amenazas que se han creado desde cero suelen ser poco sofisticadas y tienen una vida bastante corta. Sin embargo, hay excepciones a estas reglas y parece que EventBot podría ser una de ellas.
Table of Contents
EventBot: una nueva familia de malware de Android que se dirige a más de 200 aplicaciones bancarias
A principios de marzo, los investigadores de seguridad de Cybereason se toparon con un troyano bancario de Android previamente indocumentado llamado EventBot que, tras una inspección más cercana, resultó ser completamente nuevo. De hecho, el malware todavía está en desarrollo. Cuando lo lanzan, los delincuentes planean enmascararlo como las versiones de Android de varios productos de software como Adobe Flash y Microsoft Word, pero hasta entonces, aparentemente han decidido que tienen mucho trabajo por hacer.
En unas pocas semanas, los investigadores de Cybereason encontraron no menos de cuatro versiones diferentes del troyano EventBot. Cada uno de ellos venía con nuevas características únicas que lo hacían mejor que los anteriores.
En una entrevista para TechCrunch, Assaf Dahan, jefe de investigación de amenazas en Cybereason, dijo que los desarrolladores de EventBot han invertido muchos recursos en su creación, y el resultado es un malware bancario altamente sofisticado y extremadamente capaz.
El objetivo principal de EventBot es robar silenciosamente las credenciales de inicio de sesión de las víctimas para "más de 200" aplicaciones de banca, transferencia de dinero y criptomonedas. Sin embargo, puede hacer mucho más que eso.
Cómo funciona EventBot
Tras la instalación, EventBot solicita una amplia gama de permisos, que son esenciales para las operaciones del malware. Después de eso, solicita acceso a los servicios de accesibilidad del teléfono y descarga un archivo de configuración de su servidor de Comando y Control (C&C). Usando los permisos que recibe durante la instalación, crea un archivo y lo llena con información sobre el dispositivo comprometido y las aplicaciones instaladas en él. Este archivo se envía de vuelta al C&C a través de una conexión cifrada, y luego puede comenzar la operación maliciosa real.
Como ya mencionamos, EventBot actualmente recibe actualizaciones periódicas, y las nuevas versiones hacen que no solo sea más difícil de detectar, sino también más versátil. Además de mejoras como un mecanismo de cifrado más fuerte para la comunicación con los C&C, los delincuentes están agregando características que permiten a EventBot grabar pulsaciones de teclas, leer notificaciones de otras aplicaciones e interceptar mensajes SMS. Como resultado, los operadores de EventBot teóricamente pueden robar las contraseñas de un solo uso que recibe como mensajes de texto, omitir la autenticación de dos factores y comprometer su cuenta. Esa es la teoría, pero ¿qué pasa con la práctica?
¿Qué tan peligroso puede ser EventBot?
Esto depende en gran medida de lo que los delincuentes planeen usar para infectar a las víctimas. Las tiendas de aplicaciones de terceros han sido tradicionalmente una herramienta útil para distribuir malware de Android, pero después de una serie de ataques a gran escala, muchas personas se dieron cuenta de los peligros asociados con ellas y comenzaron a descargar aplicaciones solo de Google Play.
Mientras tanto, Google realizó algunas mejoras en el proceso de detección en la tienda de aplicaciones oficial de Android, pero incidentes ocasionales prueban que la seguridad de todo el ecosistema no es tan buena como debería ser.
Dado el tiempo y esfuerzo que se dedicó a EventBot, es razonable suponer que los delincuentes intentarán encontrar un vector de infección convincente que engañe a un número significativo de personas. No está claro cuándo planean desatar el malware en el mundo, lo que significa que también puede comenzar a ser un poco más cuidadoso en este momento.
