EventBot jest gotowy do kradzieży haseł bankowości internetowej i kodów weryfikacyjnych 2FA
Chociaż krajobraz zagrożeń online cały czas się zmienia, liczba nowych nazw, które się na nim pojawiają, nie jest tak duża. W rzeczywistości większość tak zwanych nowych rodzin złośliwego oprogramowania to albo przerobione wersje istniejących zagrożeń, albo kolekcje modułów i komponentów skradzionych ze znanych szczepów i zebranych razem pod nową nazwą. Badacze bezpieczeństwa rzadko widzą zupełnie nowe próbki złośliwego oprogramowania, które zostały napisane od podstaw, a kilka zagrożeń, które zostały zbudowane od zera, jest zwykle niewyszukanych i żyje raczej krótko. Istnieją jednak wyjątki od tych reguł i wygląda na to, że EventBot może być jedną z nich.
EventBot - nowa rodzina szkodliwego oprogramowania dla Androida, która atakuje ponad 200 aplikacji bankowych
Na początku marca badacze bezpieczeństwa z Cybereason natknęli się na wcześniej nieudokumentowanego trojana bankowego na Androida o nazwie EventBot, który po bliższej inspekcji okazał się zupełnie nowy. W rzeczywistości szkodliwe oprogramowanie jest wciąż w fazie rozwoju. Kiedy go uruchamiają, oszuści planują zamaskować go jako wersje Androida różnych produktów, takich jak Adobe Flash i Microsoft Word, ale do tego czasu najwyraźniej zdecydowali, że mają dużo pracy.
W ciągu kilku tygodni badacze Cybereason odkryli nie mniej niż cztery różne wersje trojana EventBot. Każda z nich zawierała nowe unikalne funkcje, dzięki którym była lepsza od poprzednich.
W wywiadzie dla TechCrunch Assaf Dahan, szef działu badań nad zagrożeniami w Cybereason, powiedział, że programiści EventBot zainwestowali wiele zasobów w ich tworzenie, a rezultatem tego jest wysoce wyrafinowane i niezwykle wydajne złośliwe oprogramowanie bankowe.
Głównym celem EventBot jest cicha kradzież danych logowania ofiar dla „ponad 200” aplikacji bankowych, przelewów i kryptowalut. Może jednak zrobić znacznie więcej.
Jak działa EventBot
Podczas instalacji EventBot prosi o szeroki zakres uprawnień, które są niezbędne do działania złośliwego oprogramowania. Następnie żąda dostępu do usług dostępności telefonu i pobiera plik konfiguracyjny z serwera Command & Control (C&C). Korzystając z uprawnień otrzymanych podczas instalacji, tworzy plik i wypełnia go informacjami o zainfekowanym urządzeniu i zainstalowanych na nim aplikacjach. Ten plik jest przesyłany z powrotem do centrum kontroli za pośrednictwem szyfrowanego połączenia, po czym można rozpocząć prawdziwą złośliwą operację.
Jak już wspomnieliśmy, EventBot obecnie otrzymuje regularne aktualizacje, a nowe wersje sprawiają, że jest nie tylko trudniejszy do wykrycia, ale także bardziej wszechstronny. Oprócz ulepszeń, takich jak silniejszy mechanizm szyfrowania komunikacji z centrum kontroli, oszuści dodają funkcje, które pozwalają EventBotowi rejestrować naciśnięcia klawiszy, odczytywać powiadomienia z innych aplikacji i przechwytywać wiadomości SMS. W rezultacie operatorzy EventBot mogą teoretycznie ukraść hasła jednorazowe, które otrzymujesz jako wiadomości tekstowe, ominąć uwierzytelnianie dwuskładnikowe i narazić twoje konto. To jest teoria, ale co z praktyką?
Jak niebezpieczny może być EventBot?
Zależy to w dużej mierze od tego, co oszuści planują wykorzystać do zainfekowania ofiar. Zewnętrzne sklepy z aplikacjami tradycyjnie były użytecznym narzędziem do dystrybucji złośliwego oprogramowania dla Androida, ale po serii ataków na dużą skalę wiele osób uświadomiło sobie związane z nimi niebezpieczeństwa i zaczęło pobierać aplikacje tylko z Google Play.
Tymczasem Google wprowadził pewne ulepszenia w procesie kontroli w oficjalnym sklepie z aplikacjami na Androida, ale sporadyczne incydenty dowodzą, że bezpieczeństwo całego ekosystemu nie jest tak dobre, jak powinno.
Biorąc pod uwagę, ile czasu i wysiłku włożono w EventBot, rozsądnie jest założyć, że oszuści spróbują wymyślić przekonujący wektor infekcji, który oszuka znaczną liczbę ludzi. Nie jest jasne, kiedy planują wypuścić złośliwe oprogramowanie na świat, co oznacza, że równie dobrze możesz zacząć być bardziej ostrożny.
