EventBot, um novo celular Android direcionado a instituições financeiras em toda a Europa

Especialistas em segurança da equipe Cybereason Nocturnus descobriram um novo malware para Android chamado EventBot, que tem como alvo bancos e serviços financeiros em toda a Europa.
Pesquisadores da equipe Cybereason Nocturnus descobriram um novo malware para Android chamado EventBot, que tem como alvo bancos e serviços financeiros em toda a Europa

O malware apareceu pela primeira vez no cenário de ameaças em março, implementando recursos de ladrão de informações / RAT. 

“A equipe do Cybereason Nocturnus está investigando o EventBot, um novo tipo de malware móvel para Android que surgiu em março de 2020. O EventBot é um trojan e infostealer de serviços bancários móveis que abusa dos recursos de acessibilidade do Android para roubar dados do usuário de aplicativos financeiros, ler mensagens SMS do usuário e roubar Mensagens SMS para permitir que o malware ignore a autenticação de dois fatores. ” lê a análise publicada pela Cybereason.

O malware Android tem como alvo mais de 200 aplicativos financeiros e de criptomoeda móvel, incluindo Paypal Business ,  Revolut ,  Barclays ,  UniCredit ,  CapitalOne UK ,  HSBC UK ,  Santander UK ,  TransferWise ,  Coinbase e  paysafecard . 

A maioria das vítimas são aplicações bancárias financeiras nos Estados Unidos e na Europa, incluindo Itália, Reino Unido, Espanha, Suíça, França e Alemanha.

O EventBot está nos estágios iniciais e, com aprimoramentos constantes, tem um potencial real de se tornar um dos malwares mais perigosos no cenário de ameaças.

O EventBot abusa dos recursos de acessibilidade do Android para roubar informações dos dispositivos de destino; ele é distribuído por APKs desonestos de terceiros, ocultos como aplicativos legítimos.


O EventBot pode interceptar mensagens SMS e ignorar os mecanismos de autenticação de dois fatores, abusando do recurso de acessibilidade do Android.
Na execução, o malware solicita várias permissões, incluindo o acesso a recursos de acessibilidade, controles de instalação de pacotes, a capacidade de abrir soquetes de rede, a leitura do armazenamento externo e a opção de executar em segundo plano. 
Ao analisar pacotes HTTP no EventBot versão 0.0.0.1, os especialistas notaram que o EventBot baixa e atualiza um arquivo de configuração com quase 200 destinos diferentes de aplicativos financeiros.
O malware também baixa os URLs de comando e controle (C2), a comunicação C2 é criptografada usando Base64, RC4 e Curve25519. 
As versões mais recentes do EventBot também incluem uma biblioteca ChaCha20 que pode melhorar o desempenho, mas não está sendo usada no momento, uma circunstância que sugere que os autores estejam trabalhando ativamente para otimizar o EventBot.
A análise da infraestrutura do EventBot e do C2 revela um potencial link para outro ladrão de informações do Android empregado no final de 2019 em ataques contra usuários italianos. 
“Esse malware abusa do recurso de acessibilidade do Android para roubar informações do usuário e pode atualizar seu código e liberar novos recursos a cada poucos dias. A cada nova versão, o malware adiciona novos recursos, como carregamento dinâmico de biblioteca, criptografia e ajustes para diferentes localidades e fabricantes. ” conclui o relatório.
"Embora o agente de ameaças responsável pelo desenvolvimento do EventBot ainda seja desconhecido e o malware não pareça estar envolvido em grandes ataques, é interessante seguir os estágios iniciais do desenvolvimento de malware móvel".


SOBRE O AUTOR

Admin

Author & Editor

Gustavo Almeida é um entusiasta de segurança apaixonado, CEH, ECSA, pesquisador de segurança, blogueiro de segurança e autor do Anonymous News .

Postar um comentário

 
Anonymous News © 2020 - All Rights Reserved Designed by Anonymous NewsLuizCod3r