Investigadores encuentran el troyano Infant Banking, míralo crecer



EventBot es un ladrón de información de Android en camino de convertirse en una pieza de malware muy capaz.

Asaf Dahan, director sénior de Cybereason, está tratando de explicar lo que sucedió.

«Mi equipo y yo estábamos monitoreando el panorama de amenazas en diferentes regiones, industrias y tecnologías. Estábamos persiguiendo una pista sobre diferentes tipos de malware y bajamos por una madriguera de conejos. Y cuando bajan por una madriguera de conejos, pueden distraerse», dijo. dice.

La distracción en el fondo de la madriguera del conejo resultó ser EventBot, un troyano bancario que se construyó en tiempo genuine mientras el equipo observaba.

Dahan está a cargo del equipo de investigación de Cybereason Nocturnus. Lo que él y su equipo encontraron en marzo fue un nuevo tipo de malware para Android que se dirige a usuarios de más de 200 aplicaciones financieras diferentes y está mejorando casi a diario.

«Fue muy interesante porque parecía que todavía estaba en desarrollo: versión zero-dot-something. Vimos un troyano bancario en proceso», dice Dahan.

en un entrada en el blog site Sobre su investigación, el equipo de Nocturnus dice que EventBot abusa de las funciones de accesibilidad de Android para robar datos de usuarios de aplicaciones financieras, leer mensajes SMS de usuarios y robar mensajes SMS para permitir que el malware evite la autenticación de dos factores. El equipo ha visto cómo el desarrollador (o desarrolladores) de EventBot lo ha mejorado paso a paso durante un par de meses, dice Dahan.

«Vimos que quien estaba detrás estaba cargando e intentando probar la detección, y cada pocos días recibíamos nuevas muestras de VirusTotal y otras fuentes. Cada pocos días, el actor de la amenaza actualizaría el código con nuevas características, nuevas ofuscaciones y nuevas herramientas. ,» el explica.

Si bien EventBot se está volviendo más capaz, aún no se ha puesto en funcionamiento por completo, dice Dahan. Todavía no ha aparecido en Google Participate in u otra tienda de aplicaciones legítima de Android Dahan espera que al identificar el malware ahora, se evite que se apodere de una tienda de aplicaciones importante.

De hecho, la prevención será crítica, dice Dahan, porque sin ella ve el potencial para que EventBot se convierta en un importante troyano bancario y ladrón de información, a la par con el Ladrón de mapaches esa fue una pieza importante de malware de Android en 2019. El equipo de Nocturnus ya ha encontrado una serie de íconos de aplicaciones legítimos asociados con EventBot, íconos que el malware podría usar para ocultar su verdadera identidad a las víctimas.

Si bien los investigadores han visto crecer EventBot, todavía hay muchas cosas que no saben sobre el malware, como la identidad del desarrollador.

«No hemos visto una superposición significativa de código con actores anteriores, por lo que es possible que se haya escrito desde cero», dice Dahan. «Podría ser un nuevo actor de amenazas o alguien existente que decidió probar un nuevo malware. No creo que tengan mucha experiencia, pero no son novatos, están en algún punto intermedio».

Tampoco hay suficiente información para saber con precisión cómo se usará EventBot en los ataques, ya sea por parte del desarrollador como código propietario o en un esquema de arrendamiento de malware como servicio.

«Esto podría ser a la vez: depende del tamaño de la operación y de las conexiones que tenga el actor de la amenaza», dice Dahan. «El ecosistema cibernético prison es vasto y complicado, y la reputación y la confianza son sus monedas más fuertes».

Dahan dice que su equipo estará observando EventBot mientras continúa desarrollándose, pero tiene consejos sobre protección para posibles víctimas.

«Esta es una amenaza de Android, no iOS. No hemos visto el malware en Google Enjoy, por lo que es possible que en las primeras etapas esté disponible en las tiendas corruptas o sitios dudosos que ofrecen aplicaciones crackeadas gratuitas», dice Dahan, señalando que estos sitios dudosos son la fuente de un gran porcentaje del malware que se encuentra en los dispositivos Android. Los individuos no deberían obtener sus aplicaciones de ningún sitio no creado y mantenido por un negocio legítimo, aconseja.

«(Siguiente), para que esto funcione, requiere que el usuario autorice o dé permiso para las funciones de accesibilidad», dice Dahan. Los usuarios deben aplicar el pensamiento crítico a cualquier solicitud de aplicación para acceder a micrófonos, cámaras, cuentas en la nube u otras fuentes de datos.

«Si la aplicación solicita un permiso que realmente no necesita, no haga clic en &#39sí&#39», dice. «Incluso las aplicaciones legítimas que recolectan una gran cantidad de datos y nos convierten en el producto deben ser observadas. Tenga muy en cuenta los permisos que le solicita la aplicación».

Contenido relacionado:

Curtis Franklin Jr. es editor sénior en Dark Examining. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y online video para Darkish Reading y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Más ideas





Enlace a la noticia unique