Az EventBot kész online banki jelszavak és 2FA-ellenőrző kódok ellopására
Noha az online fenyegető helyzet folyamatosan változik, az rajta megjelenő új nevek száma valójában nem olyan hatalmas. Valójában az úgynevezett új malware-családok többsége vagy a meglévő fenyegetések átdolgozott verziója, vagy az ismert törzsekből ellopott és új névvel összeállított modulok és alkatrészek gyűjteményei. A biztonsági kutatók ritkán látnak vadonatúj malware-mintákat, amelyeket az alulról építve írtak, és a néhány, a nulláról felépített fenyegetés általában kifinomult és meglehetősen rövid életet él. Vannak kivételek e szabályok alól, és úgy tűnik, hogy az EventBot lehet ezek közül egy.
EventBot - vadonatúj Android malware család, amely több mint 200 banki alkalmazást céloz meg
Március elején a Cybereason biztonsági kutatói az EventBot nevű, korábban nem dokumentált Android banki trójaira botlottak, amely a részletesebb vizsgálat után vadonatújnak bizonyult. Valójában a rosszindulatú programok még fejlesztés alatt állnak. Amikor elindítják, a bűnözők azt tervezik, hogy elfedik különféle szoftvertermékek, például az Adobe Flash és a Microsoft Word, Android verziójaként, ám addig látszólag úgy döntöttek, hogy még sok tennivalójuk van.
Néhány hét alatt a Cybereason kutatói nem kevesebb, mint az EventBot trójai négy különféle változatát találták meg. Mindegyikük új egyedi tulajdonságokkal jött, amelyek jobbá tették, mint az előzőek.
A TechCrunch számára készített interjúban Assaf Dahan, a Cybereason fenyegetéskutatójának vezetője elmondta, hogy az EventBot fejlesztői sok erőforrást fektetettek létrehozásukba, és ennek eredményeként rendkívül kifinomult és rendkívül képes banki malware.
Az EventBot fő célja, hogy csendben ellopja az áldozatok bejelentkezési adatait "több mint 200" banki, pénzátutalási és kriptovaluta-alkalmazásokhoz. Ennek ellenére sokkal többet tehet.
Hogyan működik az EventBot?
A telepítés után az EventBot széles körű engedélyeket kér, amelyek nélkülözhetetlenek a rosszindulatú programok működéséhez. Ezt követően hozzáférést kér a telefon akadálymentességéhez és letölt egy konfigurációs fájlt a Command & Control (C&C) szerveréről. A telepítés során kapott engedélyek felhasználásával létrehoz egy fájlt, és kitölti az adatokkal a sérült eszközről és az arra telepített alkalmazásokról. Ezt a fájlt titkosított kapcsolaton keresztül küldik vissza a C&C-hez, majd elindulhat az igazi rosszindulatú művelet.
Mint már említettük, az EventBot jelenleg rendszeresen frissül, és az új verziók nem csak nehezebbé teszik a felismerést, hanem sokoldalúbbá is teszik. A fejlesztések mellett, mint például a C&C-vel való kommunikáció erősebb titkosítási mechanizmusa, a bűnözők olyan funkciókat is hozzáadnak, amelyek lehetővé teszik az EventBot számára billentyűleütések rögzítését, más alkalmazások értesítéseinek olvasását és az SMS üzenetek elfogását. Ennek eredményeként az EventBot szolgáltatói elméletileg ellophatják a szöveges üzenetként kapott egyszeri jelszavakat, megkerülhetik a két tényezős hitelesítést, és veszélyeztethetik a fiókját. Ez az elmélet, de mi lenne a gyakorlattal?
Mennyire veszélyes lehet az EventBot?
Ez nagymértékben attól függ, hogy a bűnözők mit akarnak használni az áldozatok megfertőzésére. A harmadik féltől származó alkalmazás-áruházak hagyományosan hasznos eszközként szolgáltak az Android rosszindulatú szoftverek terjesztéséhez, ám egy sor nagyszabású támadás után sok ember felismerte a velük járó veszélyeket, és csak a Google Playről kezdte meg az alkalmazások letöltését.
Időközben a Google javította az Android hivatalos alkalmazásboltjában a szűrési folyamatot, de alkalmi események bizonyítják, hogy az egész ökoszisztéma biztonsága nem olyan jó, mint amilyennek kellene lennie.
Tekintettel arra, hogy mennyi időt és erőfeszítést fordítottak az EventBot-ra, ésszerű feltételezni, hogy a bűnözők meggyőző fertőzésvektorral próbálnak találkozni, amely jelentős számú embert becsap. Nem egyértelmű, hogy mikor tervezik a rosszindulatú szoftverek világon történő szabadon bocsátását, ami azt jelenti, hogy mostantól Ön is kicsit óvatosabb lehet.
