Novo Malware para Android “EventBot” Rouba Contas Bancárias, SMS, Coleta Dados Pessoais, Teclas

Novo Malware para Android “EventBot” Rouba Contas Bancárias, SMS, Coleta Dados Pessoais, Teclas


Pesquisadores descobriram uma nova onda de Trojan bancário furtivo e ladrão de informações apelidado de "EventBot" que pode roubar informações bancárias, dados pessoais e implantar pressionamentos de teclas nos dispositivos Android das vítimas.
O Malware abusou principalmente do recurso de acessibilidade do Android e roubou dados de aplicativos financeiros, mensagens SMS e leu o SMS recebido para contornar o 2FA.
O EventBot tem como alvo uma ampla gama de vítimas, incluindo 200 aplicativos financeiros diferentes em várias categorias, incluindo serviços bancários, serviços de transferência de dinheiro e carteiras de criptomoedas.
Os aplicativos especificamente direcionados são Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase, Paysafecard e muitos outros que são usados ​​por dezenas de milhões de usuários do Android.
Novo Malware para Android “EventBot” Rouba Contas Bancárias, SMS, Coleta Dados Pessoais, Teclas
Depois que esses aplicativos forem comprometidos, o Trojan EventBot obterá uma ampla gama de acesso aos dados pessoais e comerciais que estão em torno de 60% dos dispositivos Android.
Ele tinha como alvo os aplicativos bancários em países específicos, induzindo os Estados Unidos e a Europa, incluindo Itália, Reino Unido, Espanha, Suíça, França e Alemanha.
O malware é completamente novo e possivelmente se tornará um grande malware móvel em 2020, também os autores do malware desenvolveram a variante com uma variedade de recursos com funcionalidades sofisticadas.

Processo de infecção do EventBot

No estágio inicial do ataque, os atacantes mascaram o malware como um aplicativo legítimo com vários ícones e carregam nas lojas APK desonestas e em outros sites obscuros.
Os pesquisadores observaram uma versão diferente do malware EventBot (0.0.0.1, 0.0.0.2 e 0.3.0.1 e 0.4.0.1) e cada versão possui uma funcionalidade de bots diferente.
Após a instalação do módulo malicioso, ele solicita a seguinte permissão nos dispositivos da vítima.
  • SYSTEM_ALERT_WINDOW  - permite que o aplicativo crie janelas que são mostradas em cima de outros aplicativos.
  • READ_EXTERNAL_STORAGE  - leia do armazenamento externo.
  • REQUEST_INSTALL_PACKAGES  - faça uma solicitação para instalar pacotes.
  • INTERNET  - abre soquetes de rede.
  • REQUEST_IGNORE_BATTERY_OPTIMIZATIONS  - coloque o aplicativo na lista de permissões para permitir que ele ignore as otimizações da bateria.
  • WAKE_LOCK  - impede o processador de dormir e escurecer a tela.
  • ACCESS_NETWORK_STATE  - permite que o aplicativo acesse informações sobre redes.
  • REQUEST_COMPANION_RUN_IN_BACKGROUND  - deixe o aplicativo ser executado em segundo plano.
  • REQUEST_COMPANION_USE_DATA_IN_BACKGROUND  - deixe o aplicativo usar dados em segundo plano.
  • RECEIVE_BOOT_COMPLETED  - permite que o aplicativo seja iniciado automaticamente após a inicialização do sistema. O EventBot usa essa permissão para obter persistência e executar em segundo plano como um serviço.
  • RECEIVE_SMS  - permite que o aplicativo receba mensagens de texto.
  • READ_SMS  - permite que o aplicativo leia mensagens de texto.
Posteriormente, solicita aos usuários que concedam permissão aos serviços de acessibilidade. Depois de obter o acesso, o malware ganhou a capacidade de operar como um keylogger e acessar a notificação sobre os outros aplicativos instalados.

Também está solicitando permissão para executar o plano de fundo para a versão mais atualizada do Android.
De acordo com o relatório da Cybereason Research , “Esta versão inclui 185 aplicativos diferentes, incluindo aplicativos oficiais de bancos em todo o mundo. 26 dos aplicativos direcionados são da Itália, 25 são do Reino Unido, 6 são da Alemanha, 5 são da França e 3 são da Espanha. ”

Lista de coleta de dados

  • Obtendo uma lista de todos os aplicativos instalados : Depois que o EventBot é instalado na máquina de destino, ele lista todos os aplicativos na máquina de destino e os envia para o C2. 
  • Informações do dispositivo: o  EventBot consulta informações do dispositivo, como SO, modelo etc., e também envia essas informações para o C2.
  • Criptografia de dados : na versão inicial do EventBot, os dados que estão sendo filtrados são criptografados usando Base64 e RC4. 
  •  Captura de SMS: o EventBot tem a capacidade de analisar mensagens SMS usando a versão do SDK do dispositivo de destino para analisá-las corretamente.
Cada versão tem seus recursos exclusivos para roubar informações financeiras, é capaz de seqüestrar transações e também coletar dados pessoais, senhas, pressionamentos de teclas e informações bancárias.

Mitigação sugerida por especialistas

  • Mantenha seu dispositivo móvel atualizado com as atualizações de software mais recentes de fontes legítimas.
  • Mantenha o Google Play Protect ativado.
  • Não baixe aplicativos móveis de fontes não oficiais ou não autorizadas. A maioria dos aplicativos Android legítimos está disponível na Google Play Store. 
  • Sempre aplique o pensamento crítico e considere se você deve conceder a um determinado aplicativo as permissões solicitadas. 
  • Em caso de dúvida, verifique a assinatura e o hash do APK em fontes como o  VirusTotal  antes de instalá-lo no seu dispositivo. 
  • Use soluções móveis de detecção de ameaças para aumentar a segurança.

SOBRE O AUTOR

Admin

Author & Editor

Gustavo Almeida é um entusiasta de segurança apaixonado, CEH, ECSA, pesquisador de segurança, blogueiro de segurança e autor do Anonymous News .

Postar um comentário

 
Anonymous News © 2020 - All Rights Reserved Designed by Anonymous NewsLuizCod3r