手机银行客户面临着新的Eventbot木马的风险
在线零售银行,货币转移服务和其他金融服务申请的用户被警告到他们的警卫,以防止一个新的Android手机银行木马,被称为欧洲和美国在内的200多家服务的用户,包括巴克莱, Capitalone,汇丰银行和桑坦德。
今年3月首次发现了Eventbot,并由Cyber and的夜间团队的研究人员广泛跟踪。它滥用Android的辅助功能功能,以便从应用程序中窃取用户数据,读取短信和窃取短信 - 后者使其能够绕过双因素身份验证。
Assaf Dahan是Cyber ay的高级主任和威胁研究主管,表示,赛事可能成为下一个大型移动恶意软件威胁,因为它明确其开发商已经投入了时间和努力来编写高度复杂和精通功能的软件
“通过访问和窃取此数据,Eventbot有可能访问包括财务数据的关键业务数据,”达坎说。“移动恶意软件没有笑声,而且组织和消费者的意识风险。”
达万在丹尼尔弗兰克,李佛罗伯格和亚伦·罗姆默工作的事件研究中,表示,特洛伊木马袭击了该团队特别有趣,因为它已经在其生命周期的早期阶段发现,目前正在进行经常迭代的改进。
“这项研究提出了罕见的进程改进恶意软件作者在发布前优化时的改进,”他说。“通过攻击和狩猎攻击者,我们的团队能够出土,这是可能是一个非常危险的移动恶意软件的早期阶段。”
Nocturnus团队找到了四个版本的Eventbot Trojan,截至写入时间,版本0.0.0.1,0.0.0.2,0.3.0.1和0.4.0.1,每个版本都会过期其功能并添加新功能以混淆分析。
与许多其他恶意软件群体一样,EventBot欺骗其受害者致力于访问Android的辅助功能功能。这些功能主要设计为支持禁用的用户,让合法应用自动化某些功能,例如输入字段中的写入,自动生成权限和对用户执行手势。
但是,在恶意应用程序的情况下,可以利用可访问性服务来启用更加令人邪恶的功能 - 在EventBot的情况下,它获取作为键盘记录器运行的能力,并且可以检索有关其他已安装的应用的设备通知和打开Windows的内容。最终,EventBot将设备数据删除到其命令和控制(C2)服务器。
夜行团队表示,它试图识别木马背后的威胁演员,但到目前为止没有成功。它没有跟踪关于地下平台上的事件的对话,达坎说加强了他的怀疑,即它仍然正在进行快速发展,并未正式销售或发布。它肯定还没有用于任何大型攻击活动。
尽管如此,Eventbot作为合法威胁的出现致力于提醒组织,以加强针对目标移动设备的威胁的抗辩,使用它特别高的是数百万人远程工作。
作为一个当然,运行Android移动设备庄园的组织以及唯一的消费者 - 应始终:保持设备最新,并使用合法来源的最新软件更新;保持Google的播放保护服务已交换;只有从Google Play商店下载应用程序;仔细考虑什么权限应用程序要求和是否授予它们;如果有疑问,请在安装之前检查设备的APK签名和散列源(如Virustotal);如果可能的话,使用移动威胁检测服务。
一项完整的披露博客详细说明了夜行星的团队的研究,包括妥协(IOC)指标以及关于赛事已经通过的各种迭代的信息,可以在这里阅读。