Pesquisadores descobriram uma nova onda de Trojan bancário furtivo e ladrão de informações apelidado de "EventBot" que pode roubar informações bancárias, dados pessoais e implantar pressionamentos de teclas nos dispositivos Android das vítimas.
O Malware abusou principalmente do recurso de acessibilidade do Android e roubou dados de aplicativos financeiros, mensagens SMS e leu o SMS recebido para contornar o 2FA.
O EventBot tem como alvo uma ampla gama de vítimas, incluindo 200 aplicativos financeiros diferentes em várias categorias, incluindo serviços bancários, serviços de transferência de dinheiro e carteiras de criptomoedas.
Os aplicativos especificamente direcionados são Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase, Paysafecard e muitos outros que são usados por dezenas de milhões de usuários do Android.
Depois que esses aplicativos forem comprometidos, o Trojan EventBot obterá uma ampla gama de acesso aos dados pessoais e comerciais que estão em torno de 60% dos dispositivos Android.
Ele tinha como alvo os aplicativos bancários em países específicos, induzindo os Estados Unidos e a Europa, incluindo Itália, Reino Unido, Espanha, Suíça, França e Alemanha.
O malware é completamente novo e possivelmente se tornará um grande malware móvel em 2020, também os autores do malware desenvolveram a variante com uma variedade de recursos com funcionalidades sofisticadas.
Processo de infecção do EventBot
No estágio inicial do ataque, os atacantes mascaram o malware como um aplicativo legítimo com vários ícones e carregam nas lojas APK desonestas e em outros sites obscuros.
Os pesquisadores observaram uma versão diferente do malware EventBot (0.0.0.1, 0.0.0.2 e 0.3.0.1 e 0.4.0.1) e cada versão possui uma funcionalidade de bots diferente.
Após a instalação do módulo malicioso, ele solicita a seguinte permissão nos dispositivos da vítima.
- SYSTEM_ALERT_WINDOW - permite que o aplicativo crie janelas que são mostradas em cima de outros aplicativos.
- READ_EXTERNAL_STORAGE - leia do armazenamento externo.
- REQUEST_INSTALL_PACKAGES - faça uma solicitação para instalar pacotes.
- INTERNET - abre soquetes de rede.
- REQUEST_IGNORE_BATTERY_OPTIMIZATIONS - coloque o aplicativo na lista de permissões para permitir que ele ignore as otimizações da bateria.
- WAKE_LOCK - impede o processador de dormir e escurecer a tela.
- ACCESS_NETWORK_STATE - permite que o aplicativo acesse informações sobre redes.
- REQUEST_COMPANION_RUN_IN_BACKGROUND - deixe o aplicativo ser executado em segundo plano.
- REQUEST_COMPANION_USE_DATA_IN_BACKGROUND - deixe o aplicativo usar dados em segundo plano.
- RECEIVE_BOOT_COMPLETED - permite que o aplicativo seja iniciado automaticamente após a inicialização do sistema. O EventBot usa essa permissão para obter persistência e executar em segundo plano como um serviço.
- RECEIVE_SMS - permite que o aplicativo receba mensagens de texto.
- READ_SMS - permite que o aplicativo leia mensagens de texto.
Posteriormente, solicita aos usuários que concedam permissão aos serviços de acessibilidade. Depois de obter o acesso, o malware ganhou a capacidade de operar como um keylogger e acessar a notificação sobre os outros aplicativos instalados.
Também está solicitando permissão para executar o plano de fundo para a versão mais atualizada do Android.
De acordo com o relatório da Cybereason Research , “Esta versão inclui 185 aplicativos diferentes, incluindo aplicativos oficiais de bancos em todo o mundo. 26 dos aplicativos direcionados são da Itália, 25 são do Reino Unido, 6 são da Alemanha, 5 são da França e 3 são da Espanha. ”
Lista de coleta de dados
- Obtendo uma lista de todos os aplicativos instalados : Depois que o EventBot é instalado na máquina de destino, ele lista todos os aplicativos na máquina de destino e os envia para o C2.
- Informações do dispositivo: o EventBot consulta informações do dispositivo, como SO, modelo etc., e também envia essas informações para o C2.
- Criptografia de dados : na versão inicial do EventBot, os dados que estão sendo filtrados são criptografados usando Base64 e RC4.
- Captura de SMS: o EventBot tem a capacidade de analisar mensagens SMS usando a versão do SDK do dispositivo de destino para analisá-las corretamente.
Cada versão tem seus recursos exclusivos para roubar informações financeiras, é capaz de seqüestrar transações e também coletar dados pessoais, senhas, pressionamentos de teclas e informações bancárias.
Mitigação sugerida por especialistas
- Mantenha seu dispositivo móvel atualizado com as atualizações de software mais recentes de fontes legítimas.
- Mantenha o Google Play Protect ativado.
- Não baixe aplicativos móveis de fontes não oficiais ou não autorizadas. A maioria dos aplicativos Android legítimos está disponível na Google Play Store.
- Sempre aplique o pensamento crítico e considere se você deve conceder a um determinado aplicativo as permissões solicitadas.
- Em caso de dúvida, verifique a assinatura e o hash do APK em fontes como o VirusTotal antes de instalá-lo no seu dispositivo.
- Use soluções móveis de detecção de ameaças para aumentar a segurança.
Postar um comentário