这款新的Android手机恶意软件以欧洲的银行和金融服务为目标

一种新的Android手机恶意软件已经出现在威胁领域,它着眼于消费者和企业的财务数据。

周四,Cybereason Nocturnus团队表示,EventBot是在3月份出现的,它结合了一个木马和一个信息窃取器,可以窃取用户的财务应用数据,还可以对受害者进行秘密监视。

EventBot的目标是超过200个移动金融和加密货币应用程序,包括贝宝、巴克莱、CapitalOne UK、Coinbase、TransferWise和t提供的应用程序。欧洲和美国的金融和银行服务是特别针对的。

该恶意软件似乎仍在积极开发中,指示符包括版本号0.0.0.1、0.0.0.2和0.3.0.1,以及代码库中名为“test”的id。

EventBot滥用Android的可访问性特性来危害设备。研究人员认为,这款恶意软件在正式发布后很可能会通过流氓APK商店进行下载,除非运营商能够通过谷歌Play security将其偷偷带过去。下载完成后,这款伪装成合法应用程序的恶意软件首先会要求一组权限。

所要求的权限包括访问可访问性特性、包安装控件、打开网络套接字的能力、从外部存储读取的能力以及在后台运行的选项等。

研究人员说,如果受害者接受了这些请求,恶意软件就会“像键盘记录程序一样运行,并能检索关于其他已安装的应用程序和打开的windows内容的通知”,并会自动下载和更新包含金融应用程序目标列表的配置文件。

目前,大多数目标机构位于意大利、英国、德国和法国。

参见:这是如何在微软团队中查看GIF触发帐户劫持错误

命令和控制(C2) url也可以下载。EventBot和C2s之间发送的信息使用Base64、RC4和Curve25519进行加密。

“EventBot的所有最新版本[也]包含一个ChaCha20库,与RC4和AES等其他算法相比,它可以提高性能,但目前还没有使用,”该团队指出。“这意味着作者正在积极地对EventBot进行优化。”

恶意软件收集系统数据从目标设备,抓住短信——一个有用的特性绕过两因素身份验证(2 fa)是能够执行web注射,抓住三星屏幕针,进行监测,并窃取数据不仅从用户的设备也从应用程序中,由于滥用易访问性特征,使EventBot控制各种功能,如自动灌装,再加上它的键盘记录模块。

Cybereason认为EventBot有潜力在未来成为一个严重的移动威胁,因为“它在不断的迭代改进,滥用一个关键的操作系统功能,并以金融应用为目标。

由于恶意软件似乎仍在开发中,Cybereason无法找到任何具体的归属链接。然而,EventBot的基础设施和C2确实揭示了一个潜在的链接,该链接与此前在2019年末在意大利实施攻击时发现的一名Android信息窃取者有关。

Cybereason说EventBot突显出移动攻击越来越普遍,不仅对消费者使用金融应用程序问题,但也为企业,依靠同样的技术来访问公司财务数据,这可能成为一个问题更关键,由于转向远程工作所致。

TechRepublic: 10亿证书之后,让我们加密网络安全的疯狂梦想正在成为现实

据研究人员称,目前大约有三分之一的恶意软件以移动终端为目标,EventBot在未来可能会成为更大的威胁。

本月早些时候,Bitdefender透露了dark_nexus的存在,这是一个新的僵尸网络,该团队称,由于其极其先进的能力和特性,它让其他僵尸网络“相形见绌”。该团队表示,dark_nexus有指向Mirai和Qbot的代码链接,但僵尸网络的基础设施比任何一个知名的僵尸网络都要强大得多。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。