EventBot is klaar om wachtwoorden voor online bankieren en 2FA-verificatiecodes te stelen

EventBot Steals Banking Passwords and 2FA Codes

Hoewel het landschap van online bedreigingen voortdurend verandert, is het aantal nieuwe namen dat erop verschijnt niet zo groot. In feite zijn de meeste van de zogenaamde nieuwe malwarefamilies ofwel vernieuwde versies van bestaande bedreigingen of verzamelingen modules en componenten die zijn gestolen uit bekende stammen en onder een nieuwe naam zijn samengesteld. Beveiligingsonderzoekers zien zelden gloednieuwe malware-voorbeelden die vanaf de grond af zijn geschreven, en de weinige bedreigingen die helemaal opnieuw zijn opgebouwd, zijn meestal ongekunsteld en leiden een vrij kort leven. Er zijn echter uitzonderingen op deze regels en het lijkt erop dat EventBot daar een van kan zijn.

EventBot - een gloednieuwe Android-malwarefamilie die zich richt op meer dan 200 banktoepassingen

Begin maart stuitten beveiligingsonderzoekers van Cybereason op een voorheen ongedocumenteerde Android-bankentrojan genaamd EventBot, die bij nader inzien gloednieuw bleek te zijn. In feite is de malware nog in ontwikkeling. Wanneer ze het lanceren, zijn de oplichters van plan het te maskeren als de Android-versies van verschillende softwareproducten zoals Adobe Flash en Microsoft Word, maar tot die tijd hebben ze blijkbaar besloten dat ze veel werk te doen hebben.

Binnen een paar weken vonden de onderzoekers van Cybereason niet minder dan vier verschillende versies van de EventBot-trojan. Elk van hen kwam met nieuwe unieke functies die het beter maakten dan de vorige.

In een interview voor TechCrunch zei Assaf Dahan, hoofd van het bedreigingsonderzoek bij Cybereason dat de ontwikkelaars van EventBot veel middelen hebben geïnvesteerd in hun creatie, en het resultaat is een zeer geavanceerde en uiterst capabele banking-malware.

Het belangrijkste doel van EventBot is om de inloggegevens van slachtoffers stilletjes te stelen voor 'meer dan 200' bank-, geldoverdracht- en cryptocurrency-applicaties. Het kan echter veel meer dan dat.

Hoe EventBot werkt

Na installatie vraagt EventBot om een breed scala aan rechten, die essentieel zijn voor de werking van de malware. Daarna vraagt het toegang tot de toegankelijkheidsservices van de telefoon en downloadt het een configuratiebestand van de Command & Control (C&C) -server. Met behulp van de rechten die het tijdens de installatie heeft ontvangen, maakt het een bestand aan en vult het met informatie over het gecompromitteerde apparaat en de daarop geïnstalleerde apps. Dit bestand wordt via een gecodeerde verbinding teruggestuurd naar de C&C en dan kan de echte kwaadaardige operatie beginnen.

Zoals we al vermeldden, ontvangt EventBot momenteel regelmatig updates en de nieuwe versies maken het niet alleen moeilijker te detecteren, maar ook veelzijdiger. Naast verbeteringen zoals een sterker versleutelingsmechanisme voor de communicatie met de C&C, voegen de oplichters functies toe waarmee EventBot toetsaanslagen kan opnemen, meldingen van andere applicaties kan lezen en sms-berichten kan onderscheppen. Als gevolg hiervan kunnen de operators van EventBot in theorie de eenmalige wachtwoorden stelen die je als sms ontvangt, tweefactorauthenticatie omzeilen en je account in gevaar brengen. Dat is de theorie, maar hoe zit het met de praktijk?

Hoe gevaarlijk kan EventBot zijn?

Dit hangt grotendeels af van wat de oplichters van plan zijn te gebruiken om slachtoffers te infecteren. App-winkels van derden zijn van oudsher een handig hulpmiddel voor het verspreiden van Android-malware, maar na een reeks grootschalige aanvallen werden veel mensen zich bewust van de gevaren die ermee gepaard gingen en begonnen ze alleen apps te downloaden van Google Play.

Ondertussen heeft Google enkele verbeteringen aangebracht in het screeningproces in de officiële app store van Android, maar incidentele incidenten bewijzen dat de beveiliging van het hele ecosysteem niet zo goed is als zou moeten.

Gezien hoeveel tijd en moeite er in EventBot is gestoken, is het redelijk om aan te nemen dat de oplichters zullen proberen een overtuigende infectievector te bedenken die een aanzienlijk aantal mensen zal misleiden. Het is niet duidelijk wanneer ze van plan zijn de malware op de wereld te lanceren, wat betekent dat je net zo goed wat voorzichtiger kunt worden.

May 4, 2020
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.