EventBot está pronto para roubar senhas bancárias on-line e códigos de verificação 2FA

Embora o cenário de ameaças online mude o tempo todo, o número de novos nomes que aparecem nele não é realmente tão grande. De fato, a maioria das chamadas novas famílias de malware são versões renovadas de ameaças existentes ou coleções de módulos e componentes roubados de tipos conhecidos e reunidas sob um novo nome. Os pesquisadores de segurança raramente veem novas amostras de malware que foram escritas desde o início e as poucas ameaças que foram criadas do zero geralmente não são sofisticadas e têm uma vida bastante curta. Há exceções a essas regras, no entanto, e parece que o EventBot pode ser uma delas.

EventBot - uma nova família de malware para Android que tem como alvo mais de 200 aplicativos bancários

No início de março, os pesquisadores de segurança da Cybereason encontraram um trojan bancário Android não documentado, chamado EventBot, que, após uma inspeção mais detalhada, revelou-se novo em folha. De fato, o malware ainda está em desenvolvimento. Quando o lançam, os bandidos planejam mascará-lo como as versões do Android de vários produtos de software como Adobe Flash e Microsoft Word, mas até então, eles aparentemente decidiram que têm muito trabalho a fazer.

Em questão de poucas semanas, os pesquisadores da Cybereason encontraram nada menos que quatro versões diferentes do trojan EventBot. Cada um deles veio com novos recursos exclusivos que o tornaram melhor que os anteriores.

Em uma entrevista ao TechCrunch, Assaf Dahan, chefe de pesquisa de ameaças da Cybereason, disse que os desenvolvedores do EventBot investiram muitos recursos em sua criação, e o resultado é um malware bancário altamente sofisticado e extremamente capaz.

O principal objetivo do EventBot é roubar discretamente as credenciais de login das vítimas para "mais de 200" aplicativos bancários, de transferência de dinheiro e de criptomoeda. No entanto, pode fazer muito mais do que isso.

Como o EventBot funciona

Após a instalação, o EventBot solicita uma ampla gama de permissões, essenciais para as operações do malware. Depois disso, ele solicita acesso aos serviços de acessibilidade do telefone e baixa um arquivo de configuração do servidor de Comando e Controle (C&C). Usando as permissões recebidas durante a instalação, ele cria um arquivo e o preenche com informações sobre o dispositivo comprometido e os aplicativos instalados nele. Esse arquivo é enviado de volta ao C&C por uma conexão criptografada e, em seguida, a operação maliciosa real pode ser iniciada.

Como já mencionamos, o EventBot atualmente está recebendo atualizações regulares, e as novas versões tornam não apenas mais difícil de detectar, como também mais versátil. Além de melhorias como um mecanismo de criptografia mais forte para a comunicação com a C&C, os criminosos estão adicionando recursos que permitem ao EventBot gravar pressionamentos de tecla, ler notificações de outros aplicativos e interceptar mensagens SMS. Como resultado, os operadores do EventBot podem teoricamente roubar as senhas únicas que você recebe como mensagens de texto, ignorar a autenticação de dois fatores e comprometer sua conta. Essa é a teoria, mas e a prática?

Quão perigoso pode ser o EventBot?

Isso depende muito do que os bandidos planejam usar para infectar as vítimas. As lojas de aplicativos de terceiros tradicionalmente têm sido uma ferramenta útil para distribuir malware para Android, mas após uma série de ataques em larga escala, muitas pessoas ficaram cientes dos perigos associados a elas e começaram a baixar aplicativos apenas do Google Play.

Enquanto isso, o Google fez algumas melhorias no processo de triagem na loja oficial de aplicativos do Android, mas incidentes ocasionais provam que a segurança de todo o ecossistema não é tão boa quanto deveria.

Dado quanto tempo e esforço foram investidos no EventBot, é razoável supor que os criminosos tentem criar um vetor de infecção convincente que engane um número significativo de pessoas. Não está claro quando eles planejam lançar o malware no mundo, o que significa que você também pode começar a ser um pouco mais cuidadoso agora.