EventBot готов украсть пароли онлайн-банка и коды подтверждения 2FA

Хотя ландшафт угроз в Интернете постоянно меняется, количество новых имен, которые появляются на нем, на самом деле не так велико. Фактически, большинство из так называемых новых семейств вредоносных программ являются либо модернизированными версиями существующих угроз, либо коллекциями модулей и компонентов, похищенных из известных штаммов и собранных под новым именем. Исследователи безопасности редко видят новые образцы вредоносных программ, которые были написаны с нуля, а те немногие угрозы, которые были созданы с нуля, обычно не имеют ничего общего и живут довольно недолго. Однако есть исключения из этих правил, и похоже, что EventBot может быть одним из них.

EventBot - новое семейство вредоносных программ для Android, предназначенное для более чем 200 банковских приложений

В начале марта исследователи безопасности из Cybereason наткнулись на ранее недокументированного трояна Android-банкинга под названием EventBot, который при ближайшем рассмотрении оказался совершенно новым. На самом деле, вредоносная программа все еще находится в разработке. Когда они запустят его, мошенники планируют замаскировать его под Android-версии различных программных продуктов, таких как Adobe Flash и Microsoft Word, но до этого они, очевидно, решили, что у них много работы.

За несколько недель исследователи Cybereason обнаружили не менее четырех разных версий троянца EventBot. Каждый из них получил новые уникальные функции, которые сделали его лучше, чем предыдущие.

В интервью для TechCrunch Ассаф Дахан, руководитель исследования угроз в Cybereason, сказал, что разработчики EventBot вложили много ресурсов в их создание, и в результате получается очень сложное и чрезвычайно способное банковское вредоносное ПО.

Основная цель EventBot - незаметно украсть учетные данные жертвы для «более 200» банковских, денежных переводов и криптовалют. Хотя это может сделать намного больше.

Как работает EventBot

После установки EventBot запрашивает широкий диапазон разрешений, которые необходимы для работы вредоносных программ. После этого он запрашивает доступ к службам специальных возможностей телефона и загружает файл конфигурации со своего сервера Command & Control (C&C). Используя разрешения, полученные во время установки, он создает файл и заполняет его информацией о скомпрометированном устройстве и установленных на нем приложениях. Этот файл отправляется обратно в C&C по зашифрованному соединению, после чего может начаться настоящая вредоносная операция.

Как мы уже упоминали, в настоящее время EventBot регулярно получает обновления, а новые версии делают его не только более сложным для обнаружения, но и более универсальным. В дополнение к улучшениям, таким как более сильный механизм шифрования для связи с C&C, мошенники добавляют функции, которые позволяют EventBot записывать нажатия клавиш, читать уведомления из других приложений и перехватывать SMS-сообщения. В результате операторы EventBot теоретически могут украсть одноразовые пароли, которые вы получаете в виде текстовых сообщений, обойти двухфакторную аутентификацию и поставить под угрозу вашу учетную запись. Это теория, но как насчет практики?

Насколько опасным может быть EventBot?

Это во многом зависит от того, что мошенники планируют использовать для заражения жертв. Сторонние магазины приложений традиционно были полезным инструментом для распространения вредоносных программ для Android, но после серии крупномасштабных атак многие люди узнали об опасностях, связанных с ними, и начали загружать приложения только из Google Play.

Между тем, Google внесла некоторые улучшения в процесс проверки в официальном магазине приложений Android, но случайные инциденты доказывают, что безопасность всей экосистемы не так хороша, как должна быть.

Учитывая, сколько времени и усилий было вложено в EventBot, разумно предположить, что мошенники попытаются придумать убедительный вектор заражения, который обманет значительное количество людей. Неясно, когда они планируют выпустить вредоносное ПО в мир, а это значит, что вы можете начать проявлять осторожность прямо сейчас.