Μια νέα μορφή Android mobile malware στοχεύει τράπεζες και χρηματικο-οικονομικές υπηρεσίες με σκοπό την κλοπή οικονομικών στοιχείων πελατών και επιχειρήσεων.
Η ερευνητική ομάδα Cybereason Nocturnus δήλωσε ότι το EventBot εμφανίστηκε τον Μάρτιο και συνδυάζει ένα Trojan και ένα λογισμικό κλοπής πληροφοριών (information stealer). Το Android mobile malware μπορεί να κλέψει οικονομικά δεδομένα χρηστών, ενώ ταυτόχρονα μπορεί να κατασκοπεύσει τα θύματα.
Το EventBot στοχεύει πάνω από 200 mobile οικονομικές και cryptocurrency εφαρμογές, συμπεριλαμβανομένων αυτών που προσφέρονται από PayPal, Barclays, CapitalOne UK, Coinbase, TransferWise και Revolut. Οι στοχευμένες χρηματοοικονομικές και τραπεζικές υπηρεσίες βρίσκονται κυρίως στην Ευρώπη και τις ΗΠΑ.
Το EventBot κάνει κατάχρηση των δυνατοτήτων προσβασιμότητας του Android για να παραβιάσει τις συσκευές. Το κακόβουλο λογισμικό μεταμφιέζεται ως νόμιμη εφαρμογή, και αφού γίνει λήψη, ζητά ένα σύνολο αδειών.
Οι άδειες που ζητούνται περιλαμβάνουν πρόσβαση σε δυνατότητες προσβασιμότητας, σε ελέγχους εγκατάστασης πακέτων, ανάγνωση από εξωτερικό χώρο αποθήκευσης, εκτέλεση διαδικασιών στο παρασκήνιο κ.ά.
Εάν ένα θύμα κάνει αποδοχή, το Android mobile malware μπορεί να “λειτουργήσει ως keylogger και μπορεί να ανακτήσει ειδοποιήσεις σχετικά με άλλες εγκατεστημένες εφαρμογές και περιεχόμενο”, λένε οι ερευνητές.
Προς το παρόν, η πλειονότητα των στοχευμένων ιδρυμάτων βρίσκεται στην Ιταλία, το Ηνωμένο Βασίλειο, τη Γερμανία και τη Γαλλία.
Επίσης, γίνεται λήψη command-and-control (C2) URLs. Οι πληροφορίες που στέλνονται μεταξύ EventBot και C2s κρυπτογραφούνται μέσω Base64, RC4 και Curve25519.
“Όλες οι πιο πρόσφατες εκδόσεις του EventBot περιέχουν μια ChaCha20 βιβλιοθήκη που μπορεί να βελτιώσει την απόδοση σε σύγκριση με άλλους αλγορίθμους, όπως τα RC4 και AES, ωστόσο, αυτή τη στιγμή δεν χρησιμοποιείται”, σημειώνει η ομάδα. “Αυτό σημαίνει ότι οι δημιουργοί εργάζονται για τη βελτιστοποίηση του EventBot”.
Το κακόβουλο λογισμικό συλλέγει δεδομένα συστήματος από τη συσκευή και κλέβει μηνύματα SMS (το οποίο είναι πολύ χρήσιμο για την παράκαμψη του ελέγχου ταυτότητας δύο παραγόντων), ενώ ταυτόχρονα είναι σε θέση να πραγματοποιεί web injections, να κλέβει Samsung screen PINs, να κατασκοπεύει και να κλέβει δεδομένα όχι μόνο από τη συσκευή του χρήστη αλλά και από εφαρμογές, λόγω της κατάχρησης των δυνατοτήτων προσβασιμότητας.
Η Cybereason πιστεύει ότι το EventBot μπορεί να αποτελέσει ένα από τα πιο επικίνδυνα Android mobile malware στο μέλλον, καθώς “βελτιώνεται συνεχώς, καταχράται μια κρίσιμη λειτουργία του λειτουργικού συστήματος και στοχεύει σε χρηματοοικονομικές εφαρμογές“.
Το malware βρίσκεται υπό ανάπτυξη, γι΄αυτό δεν είναι εύκολη η σύνδεσή του με άλλα λογισμικά. Ωστόσο, η υποδομή του EventBot και το C2 αποκάλυψαν μια πιθανή σύνδεση με ένα Android information stealer που είχε εντοπιστεί στο παρελθόν σε επιθέσεις στην Ιταλία.
Η Cybereason λέει ότι το Android mobile malware, EventBot, δείχνει ότι οι mobile επιθέσεις γίνονται πιο συχνές, και το πρόβλημα μπορεί να επιδεινωθεί τώρα που οι περισσότεροι άνθρωποι χρησιμοποιούν εφαρμογές για να κάνουν τις δουλειές τους, αφού είναι κλεισμένοι στο σπίτι τους λόγω COVID-19.