EventBot, czyli jeszcze jeden trojan bankowy na Androida. Potrafi częściowo obejść 2FA

Strona głównaEventBot, czyli jeszcze jeden trojan bankowy na Androida. Potrafi częściowo obejść 2FA
02.05.2020 12:57
EventBot, czyli jeszcze jeden trojan bankowy na Androida. Potrafi częściowo obejść 2FA
bDZqAtsS

Badacze z firmy Cybereason przestrzegają przed nowym trojanem bankowym występującym na smartfonach z Androidem. Mowa o EventBot, który jest narzędziem o tyle niebezpiecznym, że nie tylko wyciąga dane logowania do serwisów transakcyjnych, ale także pozwala ominąć napastnikowi weryfikację dwuetapową.

bDZqAtsl

EventBot, jak informują badacze, obsługuje co najmniej 200 aplikacji bankowych, pośredników płatności i portfeli kryptowalut. Część z nich bywa wykorzystywanych w Polsce. Są to m.in. apki ING i Santander, ale także Revolut oraz PayPal.

Działa w tle jak klasyczny keylogger, przesyłając do zdalnego serwera ciągi wpisywane w oznaczonych aplikacjach, a co za tym idzie także loginy i hasła. Ale na tym jego możliwości się nie kończą. Potrafi bowiem do tego rejestrować kody blokady ekranu. Co gorsza, ma możliwość pracy w trybie parsera i przekazywania otrzymanych SMS-ów (z kodami autoryzacyjnymi) do napastnika. Ten ostatecznie zyskuje pełen dostęp do środków ofiary.

Lista aplikacji atakowanych przez EventBot
Lista aplikacji atakowanych przez EventBot

Nie ma go w Sklepie Play, ale czyha na piratów

Dobra wiadomość jest taka, że na razie EventBot nie został odnaleziony w żadnej aplikacji w Sklepie Play. Nie oznacza to jednak, że ciężko o przypadkową infekcję. Według Cybereason, malware często pojawia się w nieoficjalnych repozytoriach w formie plików APK, które naśladują powszechnie znane aplikacje takie jak Microsoft Word lub Adobe Flash. Albo scrackowane wersje nominalnie płatnych narzędzi oraz gier.

bDZqAtsn

Po zainstalowaniu takiego APK, użytkownik zostaje poproszony o przyznanie mu całego szeregu uprawnień, m.in. do pracy w tle, odczytu danych z pamięci, odbierania wiadomości SMS oraz autostratu w przypadku ponownego uruchomienia. Na marginesie: warto zwrócić uwagę, że nie są to zgody, o które zazwyczaj proszą normalne apki i gry.

Uzyskawszy wymagane zgody, EventBot łączy się z serwerem i pobiera listę aplikacji, które powinien skanować. Tu dochodzi coś jeszcze, a mianowicie trzeba pamiętać, że w każdej chwili lista ta może zostać rozszerzona. Czyli jeśli malware w tym momencie nie dotyka klientów danego banku, to nie oznacza, że będzie tak już zawsze.

Przy okazji dostarcza też napastnikom komplet informacji o zainfekowanym urządzeniu: typ i producenta, wersję systemu Android, listę zainstalowanych aplikacji, rodzaj blokady ekranu. W jakim celu? Tego nie wiadomo, ale faktem jest, iż ktoś gromadzi pokaźną bazę danych.

350321480041189671

EventBot: Jak się przed tym chronić?

Po pierwsze – chcąc w tym przypadku uniknąć zainfekowania, przede wszystkim nie należy pobierać i instalować aplikacji ze źródeł niezaufanych, szczególnie plików APK znalezionych w szemranych miejscach. Po drugie – większość banków i aplikacji finansowych pozwala ustawić autoryzację nie poprzez SMS, ale powiadomienie w samej aplikacji. Nazywane jest to przeważnie autoryzacją mobilną. Takiego zabezpieczenia EventBot już nie obejdzie.

Programy

Aktualizacje
Aktualizacje
Nowości
bDZqAttj