Este nuevo malware móvil para Android está dirigido a bancos y servicios financieros en toda Europa


Una nueva forma de malware móvil Android ha surgido en el panorama de amenazas con la mirada puesta en los datos financieros de los consumidores y las empresas.

El jueves, el equipo de Cybereason Nocturnus dijo que EventBot apareció en marzo y combina un troyano y un ladrón de información capaz de filtrar los datos de las aplicaciones financieras de los usuarios, así como realizar espionaje encubierto a las víctimas.

EventBot se dirige a más de 200 aplicaciones móviles financieras y de criptomonedas, incluidas las ofrecidas por PayPal, Barclays, CapitalOne Uk, Coinbase, TransferWise y Revolut. Los servicios financieros y bancarios en Europa y Estados Unidos están específicamente dirigidos.

Parece que el malware todavía está en desarrollo activo, con indicadores que incluyen los números de versión …1, …2 y .3..1, así como ID identificadas con «prueba» en la base de código.

EventBot abusa de las funciones de accesibilidad de Android para comprometer los dispositivos. Después de ser descargado, lo que los investigadores creen que probablemente a través de las tiendas de APK falsas después del lanzamiento official, a menos que un operador pueda pasarlo de contrabando por la seguridad de Google Play, el malware, disfrazado de una aplicación legítima, primero solicita un conjunto de permisos.

Los permisos solicitados incluyen acceso a funciones de accesibilidad, controles de instalación de paquetes, la capacidad de abrir sockets de pink, leer desde almacenamiento externo y la opción de ejecutar en segundo plano, entre otros.

Si una víctima acepta las solicitudes, el malware puede «funcionar como un keylogger y puede recuperar notificaciones sobre otras aplicaciones instaladas y contenido de ventanas abiertas», dicen los investigadores, y descargará y actualizará automáticamente un archivo de configuración que contiene la lista de objetivos de la aplicación financiera.

Actualmente, la mayoría de las instituciones seleccionadas se encuentran en Italia, el Reino Unido, Alemania y Francia.

Ver también: Así es como ver un GIF en Microsoft Teams provocó un error de secuestro de cuenta

Las URL de comando y control (C2) también se descargan. La información enviada entre EventBot y C2 se cifra mediante Base64, RC4 y Curve25519.

«Todas las versiones más recientes de EventBot (también) contienen una biblioteca ChaCha20 que puede mejorar el rendimiento en comparación con otros algoritmos como RC4 y AES, sin embargo, actualmente no se está utilizando», señala el equipo. «Esto implica que los autores están trabajando activamente para optimizar EventBot con el tiempo».

El malware recopila datos del sistema desde el dispositivo de destino, captura mensajes SMS, una característica útil para evitar la autenticación de dos factores (2FA), y puede realizar inyecciones en la web, capturar los PIN de la pantalla de Samsung, realizar vigilancia y robar datos no solo desde el dispositivo del usuario, sino también desde las aplicaciones, debido al abuso de las funciones de accesibilidad que le dan a EventBot el control de una variedad de funciones, como el llenado automático, combinado con su módulo keylogger.

Cybereason cree que EventBot tiene el potencial de convertirse en una seria amenaza móvil en el futuro, ya que «está bajo mejoras iterativas constantes, abusa de una característica crítica del sistema operativo y apunta a aplicaciones financieras».

CNET: Las estafas de estímulo de coronavirus están aquí. Cómo identificar estos nuevos ataques en línea y de texto

Como el malware todavía parece estar en desarrollo, Cybereason no pudo encontrar ningún enlace concreto con fines de atribución. Sin embargo, la infraestructura de EventBot y C2 revelaron un posible enlace a un ladrón de información de Android previamente detectado a fines de 2019 mientras realizaba ataques en Italia.

Cybereason dice que EventBot destaca cómo los ataques móviles se están volviendo más comunes, un problema no solo para los consumidores que usan aplicaciones financieras, sino también para las empresas que dependen de la misma tecnología para acceder a los datos financieros de la compañía, un problema que ahora puede volverse más crítico debido a El cambio al trabajo remoto causado por COVID-19.

TechRepublic: Mil millones de certificados después, el loco sueño de Enable&#39s Encrypt para asegurar la world wide web se está haciendo realidad

Según los investigadores, aproximadamente un tercio del malware ahora se dirige a puntos finales móviles, y es posible que EventBot se convierta en una amenaza más sustancial en el futuro.

A principios de este mes, Bitdefender reveló la existencia de dark_nexus, una nueva botnet que el equipo dice que «avergüenza» a otras botnets debido a sus capacidades y características extremadamente avanzadas. El equipo dijo que dim_nexus tiene enlaces de código tanto para Mirai como para Qbot, pero la infraestructura de la botnet es mucho más robusta que cualquiera de las botnets conocidas.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia primary