EventBot è pronto a rubare password bancarie online e codici di verifica 2FA
Sebbene il panorama delle minacce online cambi continuamente, il numero di nuovi nomi che appaiono su di esso non è poi così grande. In effetti, la maggior parte delle cosiddette nuove famiglie di malware sono versioni rinnovate di minacce esistenti o raccolte di moduli e componenti rubati da ceppi noti e messi insieme con un nuovo nome. I ricercatori della sicurezza vedono raramente nuovi campioni di malware che sono stati scritti da zero, e le poche minacce che sono state costruite da zero sono generalmente poco sofisticate e hanno una vita piuttosto breve. Ci sono eccezioni a queste regole, tuttavia, e sembra che EventBot potrebbe essere una di queste.
Table of Contents
EventBot: una nuovissima famiglia di malware per Android destinata a oltre 200 applicazioni bancarie
All'inizio di marzo, i ricercatori della sicurezza di Cybereason si sono imbattuti in un trojan bancario Android precedentemente non documentato chiamato EventBot che, dopo un'attenta ispezione, si è rivelato nuovo di zecca. In effetti, il malware è ancora in fase di sviluppo. Quando lo lanciano, i truffatori hanno in programma di mascherarlo come le versioni Android di vari prodotti software come Adobe Flash e Microsoft Word, ma fino ad allora, a quanto pare, hanno deciso di avere molto lavoro da fare.
Nel giro di poche settimane, i ricercatori di Cybereason hanno trovato non meno di quattro diverse versioni del trojan EventBot. Ognuno di loro è arrivato con nuove funzionalità uniche che lo hanno reso migliore rispetto ai precedenti.
In un'intervista per TechCrunch, Assaf Dahan, responsabile della ricerca sulle minacce di Cybereason, ha affermato che gli sviluppatori di EventBot hanno investito molte risorse nella loro creazione e il risultato è un malware bancario altamente sofisticato ed estremamente capace.
L'obiettivo principale di EventBot è rubare silenziosamente le credenziali di accesso delle vittime per "oltre 200" applicazioni bancarie, di trasferimento di denaro e di criptovaluta. Può fare molto di più, però.
Come funziona EventBot
Al momento dell'installazione, EventBot richiede una vasta gamma di autorizzazioni, essenziali per le operazioni del malware. Successivamente, richiede l'accesso ai servizi di accessibilità del telefono e scarica un file di configurazione dal suo server Command & Control (C&C). Utilizzando le autorizzazioni ricevute durante l'installazione, crea un file e lo riempie di informazioni sul dispositivo compromesso e sulle app installate su di esso. Questo file viene rinviato a C&C tramite una connessione crittografata e quindi può iniziare la vera operazione dannosa.
Come già accennato, EventBot sta attualmente ricevendo aggiornamenti regolari e le nuove versioni rendono non solo più difficile da rilevare, ma anche più versatile. Oltre a miglioramenti come un meccanismo di crittografia più forte per la comunicazione con C&C, i truffatori stanno aggiungendo funzionalità che consentono a EventBot di registrare sequenze di tasti, leggere notifiche da altre applicazioni e intercettare i messaggi SMS. Di conseguenza, gli operatori di EventBot possono teoricamente rubare le password singole che ricevi come messaggi di testo, ignorare l'autenticazione a due fattori e compromettere il tuo account. Questa è la teoria, ma per quanto riguarda la pratica?
Quanto può essere pericoloso EventBot?
Ciò dipende in gran parte da ciò che i criminali intendono utilizzare per infettare le vittime. Gli app store di terze parti sono stati tradizionalmente uno strumento utile per la distribuzione di malware Android, ma dopo una serie di attacchi su larga scala, molte persone sono venute a conoscenza dei pericoli ad essi associati e hanno iniziato a scaricare app solo da Google Play.
Nel frattempo, Google ha apportato alcuni miglioramenti al processo di screening nell'app store ufficiale di Android, ma incidenti occasionali dimostrano che la sicurezza dell'intero ecosistema non è buona come dovrebbe essere.
Dato quanto tempo e sforzo sono stati investiti in EventBot, è ragionevole supporre che i truffatori cercheranno di inventare un vettore di infezione convincente che ingannerà un numero significativo di persone. Non è chiaro quando intendono scatenare il malware nel mondo, il che significa che potresti anche iniziare a stare un po 'più attento in questo momento.
