EventBotはオンラインバンキングのパスワードと2FA確認コードを盗む準備ができています
オンラインの脅威の状況は常に変化していますが、そこに現れる新しい名前の数は実際にはそれほど多くありません。実際、いわゆる新しいマルウェアファミリのほとんどは、既存の脅威の改造バージョンか、既知の株から盗まれて新しい名前でまとめられたモジュールとコンポーネントのコレクションです。セキュリティ研究者は、ゼロから作成された新しいマルウェアのサンプルをほとんど目にすることはなく、ゼロから構築されたいくつかの脅威は、通常、洗練されておらず、短命です。ただし、これらのルールには例外があり、EventBotもその1つである可能性があります。
Table of Contents
EventBot – 200以上のバンキングアプリケーションをターゲットとする真新しいAndroidマルウェアファミリー
3月上旬、 Cybereasonのセキュリティ研究者は、以前は文書化されていなかった、EventBotと呼ばれるAndroidバンキングのトロイの木馬に遭遇しました。実際、マルウェアはまだ開発中です。彼らがそれを起動したとき、詐欺師はそれをAdobe FlashやMicrosoft Wordのようなさまざまなソフトウェア製品のAndroidバージョンとして隠すことを計画していますが、それまで、彼らは明らかに多くの仕事をすることを決定しました。
数週間のうちに、Cybereasonの研究者たちは4つ以上の異なるバージョンのEventBotトロイの木馬を発見しました。それぞれに、以前の機能よりも優れた新しい独自の機能が搭載されています。
TechCrunchへのインタビューで、Cybereasonの脅威研究責任者であるAssaf Dahanは、EventBotの開発者が多くのリソースを彼らの作成に投資しており、その結果、非常に高度で非常に有能なバンキングマルウェアができたと語りました。
EventBotの主な目標は、「200を超える」バンキング、送金、および暗号通貨アプリケーションの被害者のログイン資格情報を静かに盗むことです。ただし、それだけではありません。
EventBotの仕組み
インストール時に、EventBotはマルウェアの操作に不可欠な幅広い権限を要求します。その後、電話機のアクセシビリティサービスへのアクセスを要求し、コマンド&コントロール(C&C)サーバーから構成ファイルをダウンロードします。インストール中に受け取った権限を使用して、ファイルを作成し、侵入したデバイスとそれにインストールされているアプリに関する情報をそのファイルに書き込みます。このファイルは暗号化された接続を介してC&Cに送り返され、実際の悪意のある操作が開始される可能性があります。
すでに述べたように、EventBotは現在定期的な更新を受信しており、新しいバージョンでは検出が困難になるだけでなく、用途が広がります。 C&Cとの通信のためのより強力な暗号化メカニズムなどの改善に加えて、詐欺師は、EventBotがキーストロークを記録し、他のアプリケーションからの通知を読み取り、SMSメッセージを傍受できるようにする機能を追加しています。その結果、EventBotのオペレーターは、理論的には、テキストメッセージとして受信したワンタイムパスワードを盗み、2要素認証をバイパスし、アカウントを侵害する可能性があります。それは理論ですが、実践はどうですか?
EventBotはどのくらい危険ですか?
これは主に、犯罪者が被害者を感染させるために何を使用するかによって異なります。従来、サードパーティのアプリストアはAndroidマルウェアを配布するための便利なツールでしたが、一連の大規模な攻撃の後、多くの人々がそれらに関連する危険に気づき、Google Playからのみアプリのダウンロードを開始しました。
その間、GoogleはAndroidの公式アプリストアでのスクリーニングプロセスにいくつかの改善を加えましたが、時折発生した事件により、エコシステム全体のセキュリティは本来あるべきレベルではないことが証明されています。
EventBotにどれだけの時間と労力が費やされたのかを考えると、詐欺師がかなりの数の人々をだます説得力のある感染経路を考え出そうとするのは当然のことです。彼らがマルウェアを世界に展開することを計画している時期は明確ではありません。つまり、今すぐもう少し注意深く始めることもできます。