EventBot已准备好窃取在线银行密码和2FA验证码
尽管在线威胁格局一直在变化,但实际上出现在其中的新名称的数量并没有那么大。实际上,大多数所谓的新恶意软件家族要么是现有威胁的修订版,要么是从已知毒株中窃取的模块和组件的集合,并以新的名称组合在一起。安全研究人员很少看到全新的恶意软件样本,它们是从头开始编写的,而从头开始构建的少数威胁通常并不复杂,并且寿命很短。但是,这些规则也有例外,看起来EventBot可能就是其中之一。
Table of Contents
EventBot –一个全新的Android恶意软件家族,针对200多个银行应用程序
3月初,来自Cybereason的安全研究人员偶然发现了一个以前未记录的Android银行木马,称为EventBot,经仔细检查后发现它是全新的。实际上,该恶意软件仍在开发中。当他们启动它时,骗子计划将其掩盖为Adobe Flash和Microsoft Word等各种软件产品的Android版本,但是直到那时,他们显然已经决定要做很多工作。
在短短几周内,Cybereason的研究人员发现了不少于四个不同版本的EventBot木马。它们每个都具有新的独特功能,使其比以前的功能更好。
Cybereason威胁研究负责人Assaf Dahan在接受TechCrunch采访时表示,EventBot的开发人员已在其创作中投入了大量资源,其结果是形成了高度复杂且功能强大的银行恶意软件。
EventBot的主要目标是悄悄地窃取受害者的登录凭据,以用于“超过200个”银行,汇款和加密货币应用程序。但是,它可以做的更多。
EventBot的工作方式
安装后,EventBot会要求广泛的权限,这对于恶意软件的操作至关重要。之后,它请求访问电话的辅助功能并从其命令与控制(C&C)服务器下载配置文件。使用在安装过程中获得的权限,它会创建一个文件,并使用有关受感染设备及其上安装的应用程序的信息填充该文件。该文件通过加密连接发送回C&C,然后才可以开始真正的恶意操作。
正如我们已经提到的,EventBot当前正在接受定期更新,新版本不仅使它更难检测,而且用途更加广泛。除了诸如与C&C进行通信的更强加密机制之类的改进外,骗子还添加了一些功能,这些功能使EventBot记录击键,读取来自其他应用程序的通知并拦截SMS消息。结果,EventBot的操作员理论上可以窃取您以短信形式收到的一次性密码,绕过两因素身份验证并破坏您的帐户。那是理论,但是实践呢?
EventBot有多危险?
这在很大程度上取决于骗子打算用来感染受害者的计划。传统上,第三方应用商店一直是分发Android恶意软件的有用工具,但是在进行了一系列大规模攻击之后,很多人意识到了与之相关的危险,并仅从Google Play下载应用。
同时,Google对Android官方应用商店中的筛选过程进行了一些改进,但偶尔的事件证明整个生态系统的安全性不如应有的安全。
考虑到在EventBot中投入了很多时间和精力,可以合理地假设骗子会尝试提出令人信服的感染媒介,从而诱骗大量人员。目前尚不清楚他们何时计划将恶意软件发布到世界各地,这意味着您最好现在就开始变得更加谨慎。
