EventBot är redo att stjäla onlinebanklösenord och 2FA-verifieringskoder

EventBot Steals Banking Passwords and 2FA Codes

Även om online-hotlandskapet ändras hela tiden, är antalet nya namn som visas på det faktiskt inte så enormt. I själva verket är de flesta av de så kallade nya skadefamiljerna antingen renoverade versioner av befintliga hot eller samlingar av moduler och komponenter som stulits från kända stammar och sätts samman under ett nytt namn. Säkerhetsforskare ser sällan helt nya skadliga prover som har skrivits från grunden, och de få hot som har byggts från grunden är vanligtvis osofistikerade och lever ett ganska kort liv. Det finns dock undantag från dessa regler och det ser ut som att EventBot kan vara en av dem.

EventBot - en helt ny Android-malwarefamilj som riktar sig till mer än 200 bankapplikationer

I början av mars snubblade säkerhetsforskare från Cybereason över en tidigare odokumenterad Android-bank-trojan, kallad EventBot, som vid närmare granskning visade sig vara helt ny. I själva verket är skadlig programvara fortfarande under utveckling. När de lanserar det planerar skurkarna att maskera det som Android-versionerna av olika mjukvaruprodukter som Adobe Flash och Microsoft Word, men fram till dess har de tydligen beslutat att de har mycket arbete att göra.

Inom några veckor fann Cybereasons forskare inte färre än fyra olika versioner av EventBot-trojanen. Var och en av dem kom med nya unika funktioner som gjorde det bättre än de tidigare.

I en intervju för TechCrunch sade Assaf Dahan, chef för hotforskning vid Cybereason att EventBots utvecklare har investerat mycket resurser i skapandet, och resultatet är en mycket sofistikerad och extremt kapabel bankprogramvara.

EventBots huvudmål är att tyst stjäla offrens inloggningsuppgifter för "över 200" bank-, pengaröverförings- och cryptocurrency-applikationer. Men det kan göra mycket mer än så.

Hur EventBot fungerar

Vid installationen begär EventBot ett brett spektrum av behörigheter, som är viktiga för skadlig programvarens verksamhet. Därefter begär den åtkomst till telefonens tillgänglighetstjänster och laddar ner en konfigurationsfil från dess Command & Control (C&C) -server. Med hjälp av de behörigheter som den har fått under installationen skapar den en fil och fyller den med information om den komprometterade enheten och apparna som är installerade på den. Denna fil skickas tillbaka till C&C via en krypterad anslutning, och sedan kan den verkliga skadliga åtgärden starta.

Som vi redan nämnt får EventBot för närvarande regelbundna uppdateringar, och de nya versionerna gör det inte bara svårare att upptäcka utan också mer mångsidig. Förutom förbättringar som en starkare krypteringsmekanism för kommunikationen med C&C lägger skurkarna till funktioner som låter EventBot spela in tangenttryckningar, läsa aviseringar från andra applikationer och fånga SMS-meddelanden. Som ett resultat kan EventBots operatörer teoretiskt stjäla engångslösenorden som du får som textmeddelanden, kringgå tvåfaktorsautentisering och kompromettera ditt konto. Det är teorin, men hur är det med praktiken?

Hur farligt kan EventBot vara?

Detta beror till stor del på vad skurkarna planerar att använda för att smitta offer. Tredjeparts appbutiker har traditionellt varit ett användbart verktyg för att distribuera Android-skadlig programvara, men efter en serie storskaliga attacker blev många människor medvetna om farorna i samband med dem och började bara ladda ner appar från Google Play.

Under tiden gjorde Google några förbättringar av screeningprocessen i Android: s officiella app-butik, men tillfälliga tillbud bevisar att hela ekosystemets säkerhet inte är så bra som det borde vara.

Med tanke på hur mycket tid och ansträngning som läggs i EventBot, är det rimligt att anta att skurkarna kommer att försöka komma med en övertygande infektionsvektor som kommer att lura ett betydande antal människor. Det är inte klart när de planerar att släppa loss skadlig programvara till världen, vilket innebär att du också kan börja vara lite mer försiktig just nu.

May 4, 2020
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.