Nuevo malware de Android roba información financiera, y evita el 2FA

Iniciado por AXCESS, Mayo 01, 2020, 10:32:10 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 01, 2020, 10:32:10 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo troyano bancario puede robar información financiera de los usuarios de Android en los Estados Unidos y varios países europeos, incluidos el Reino Unido, Alemania, Italia, España, Suiza y Francia.

Apodado EventBot por investigadores de Cybereason Nocturnus que lo descubrieron en marzo de 2020, el malware es un troyano bancario móvil y un infostealer diseñado para abusar de las funciones de accesibilidad del sistema operativo Android para robar datos financieros confidenciales.

"EventBot apunta a usuarios de más de 200 aplicaciones financieras diferentes, incluidos servicios bancarios, de transferencia de dinero y billeteras de criptomonedas", encontraron los investigadores de Cybereason Nocturnus.

"Los destinatarios incluyen aplicaciones como Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase, paysafecard y muchas más". - la lista completa de aplicaciones de Android específicas está disponible aquí:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Por el momento, el malware no se distribuye a través de Google Play Store, y es probable que sus creadores utilicen sitios web de alojamiento APK turbios y un mercado APK corrupto para su distribución a los dispositivos de las víctimas potenciales.

Permisos para todo

Una vez que los objetivos descarguen EventBot en sus dispositivos y comiencen el proceso de instalación, el malware solicitará que se les otorgue un amplio conjunto de permisos, incluida la capacidad de ejecutarse en segundo plano, ignorar las optimizaciones de la batería y evitar que el procesador entre en suspensión, o el del dispositivo de oscurecer la pantalla.

EventBot también solicita obtener acceso a los servicios de accesibilidad de Android, lo que le permite "operar como un keylogger y puede recuperar notificaciones sobre otras aplicaciones instaladas y contenido de ventanas abiertas" una vez que se otorgan los permisos.

El troyano bancario también pide permiso para lanzarse después del arranque del sistema como una forma simple de ganar persistencia en dispositivos infectados y ejecutarse en segundo plano como un servicio.

También solicitará permiso para leer y recibir mensajes maliciosos de mensajes SMS, obteniendo así la capacidad de leer mensajes de texto y robar contraseñas de un solo uso (OTP) que luego usa para omitir la autenticación de dos factores (2FA) para cuentas que usan 2FA basado en SMS: EventBot también usa webinjects para eludir 2FA.

EventBot recopila la lista de aplicaciones instaladas en los dispositivos Android que infecta, junto con la información del dispositivo, como el sistema operativo y el modelo, datos que se envían a su servidor de comando y control para luego ser cosechados por sus operadores.

Todavía en desarrollo pero ya es una amenaza

Aunque actualmente se encuentra en sus primeras etapas de desarrollo, EventBot puede convertirse en una importante amenaza de malware para Android, ya que es capaz de apuntar a cientos de aplicaciones financieras y los desarrolladores agregan más funciones nuevas en cada versión como cifrado, carga dinámica de bibliotecas y ajuste automático a modelos de dispositivos y locales.

Debido a que el actor de la amenaza detrás de este malware lo actualiza cada pocos días, es solo cuestión de tiempo hasta que alcance a otros troyanos de Android altamente peligrosos como Cerberus, Anubis y xHelper.

Por ejemplo, los desarrolladores de EventBot agregaron una capa de ofuscación en la última versión, "tal vez llevando el malware un paso más cerca de ser completamente operativo", según los investigadores.

Para defenderse de una infección EventBot, debe evitar los mercados de terceros si es posible y siempre instalar aplicaciones solo desde Google Play Store a medida que pasan por un proceso de verificación que asegura que se rechacen la mayoría de las aplicaciones potencialmente maliciosas.

"Cybereason cree que EventBot podría ser el próximo malware móvil influyente debido al tiempo que el desarrollador ya ha invertido en crear el código y el nivel de sofisticación y capacidades es realmente alto", dijo Assaf Dahan, jefe de investigación de amenazas de Cybereason.

"Al acceder y robar estos datos, Eventbot tiene el potencial de acceder a datos comerciales clave, incluidos los datos financieros. El malware móvil no es motivo de risa y es un riesgo significativo tanto para las organizaciones como para los consumidores".

Los indicadores de compromiso de EventBot (IOC), incluidos los hash de muestra de malware y las direcciones IP y dominios de sus servidores de comando y control, están disponibles al final del informe de Cybereason Nocturnus.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A partir del mes pasado, la pandilla TrickBot también comenzó a usar una aplicación maliciosa de Android denominada TrickMo que roba números de autenticación de transacciones (TAN), incluidas las contraseñas de un solo uso (OTP), TAN móvil (mTAN) y códigos de autenticación pushTAN - para evitar la protección 2FA utilizada por varios bancos.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario