EventBot er klar til å stjele nettbankpassord og 2FA-verifikasjonskoder

Selv om det online trusselandskapet endres hele tiden, er antallet nye navn som vises på det faktisk ikke så enormt. Faktisk er de fleste av de såkalte nye skadelige skadefamiliene enten oppussede versjoner av eksisterende trusler eller samlinger av moduler og komponenter stjålet fra kjente stammer og satt sammen under et nytt navn. Sikkerhetsforskere ser sjelden helt nye malware-prøver som er skrevet fra grunnen av, og de få truslene som er bygget fra bunnen av, er vanligvis usofistiserte og lever et ganske kort liv. Det er imidlertid unntak fra disse reglene, og det ser ut som at EventBot kan være en av dem.

EventBot - en helt ny Android-skadelig familiefamilie som retter seg mot mer enn 200 bankapplikasjoner

I begynnelsen av mars snublet sikkerhetsforskere fra Cybereason over en tidligere udokumentert Android-bank-trojan kalt EventBot, som ved nærmere ettersyn viste seg å være helt ny. Faktisk er malware fortsatt i utvikling. Når de lanserer den, planlegger kjeltringene å maskere den som Android-versjoner av forskjellige programvareprodukter som Adobe Flash og Microsoft Word, men frem til da har de tilsynelatende bestemt seg for at de har mye arbeid å gjøre.

I løpet av noen uker fant Cybereasons forskere ikke færre enn fire forskjellige versjoner av EventBot-trojanen. Hver av dem kom med nye unike funksjoner som gjorde det bedre enn de forrige.

I et intervju for TechCrunch sa Assaf Dahan, sjef for trusselforskning ved Cybereason at utviklere av EventBot har investert mye ressurser i etableringen, og resultatet er en meget sofistikert og ekstremt dyktig bank malware.

EventBots hovedmål er å stille stjele ofrenes påloggingsinformasjon for "over 200" bank-, pengeoverførings- og cryptocurrency-applikasjoner. Men det kan gjøre mye mer enn det.

Slik fungerer EventBot

Ved installasjon ber EventBot om et bredt spekter av tillatelser, som er avgjørende for skadelig programvare. Etter det ber den om tilgang til telefonens tilgjengelighetstjenester og laster ned en konfigurasjonsfil fra Command & Control (C&C) -serveren. Ved å bruke tillatelsene den mottok under installasjonen, oppretter den en fil og fyller den med informasjon om den kompromitterte enheten og appene som er installert på den. Denne filen blir sendt tilbake til C&C via en kryptert tilkobling, og deretter kan den virkelige ondsinnede operasjonen starte.

Som vi allerede nevnte, mottar EventBot for tiden jevnlige oppdateringer, og de nye versjonene gjør det ikke bare vanskeligere å oppdage, men også mer allsidig. I tillegg til forbedringer som en sterkere krypteringsmekanisme for kommunikasjonen med C&C, legger skurkene til funksjoner som lar EventBot registrere tastetrykk, lese varsler fra andre applikasjoner og avskjære SMS-meldinger. Som et resultat kan EventBots operatører teoretisk stjele engangspassordene du mottar som tekstmeldinger, omgå tofaktorautentisering og kompromittere kontoen din. Det er teorien, men hva med praksisen?

Hvor farlig kan EventBot være?

Dette avhenger i stor grad av hva kjeltringene planlegger å bruke for å smitte ofre. Tredjeparts appbutikker har tradisjonelt vært et nyttig verktøy for å distribuere Android-skadelig programvare, men etter en rekke storskala angrep ble mange mennesker klar over farene forbundet med dem og begynte å laste ned apper fra Google Play.

I mellomtiden foretok Google noen forbedringer av silingsprosessen i Android's offisielle app-butikk, men sporadiske hendelser beviser at hele økosystemets sikkerhet ikke er så bra som det burde være.

Med tanke på hvor mye tid og krefter som ble lagt ned i EventBot, er det rimelig å anta at kjeltringene vil prøve å komme med en overbevisende infeksjonsvektor som vil lure et betydelig antall mennesker. Det er ikke klart når de planlegger å slippe skadelig programvare ut i verden, noe som betyr at du like godt kan begynne å være litt mer forsiktig akkurat nå.