Découvrez EventBot, un nouveau malware Android qui vole les mots de passe bancaires et les codes à deux facteurs

Des chercheurs en sécurité tirent la sonnette d’alarme sur un Android récemment découvert malware qui cible les applications bancaires et les portefeuilles de crypto-monnaie.

Le malware, que les chercheurs de la société de sécurité Cybereason récemment découvert et appelé EventBot, se fait passer pour une application Android légitime – comme Adobe Flash ou Microsoft Word pour Android – qui abuse des fonctionnalités d’accessibilité intégrées d’Android pour obtenir un accès en profondeur au système d’exploitation de l’appareil.

Une fois installé – soit par un utilisateur sans méfiance, soit par une personne malveillante ayant accès au téléphone d’une victime – la fausse application infectée par EventBot siphonne silencieusement les mots de passe de plus de 200 applications bancaires et de crypto-monnaie – y compris PayPal, Coinbase, CapitalOne et HSBC – et intercepte et codes de message texte d’authentification à deux facteurs.

Avec le mot de passe et le code à deux facteurs d’une victime, les pirates peuvent s’introduire dans des comptes bancaires, des applications et des portefeuilles et voler les fonds d’une victime.

« Le développeur derrière Eventbot a investi beaucoup de temps et de ressources dans la création du code, et le niveau de sophistication et de capacités est vraiment élevé », a déclaré Assaf Dahan, responsable de la recherche sur les menaces chez Cybereason, à TechCrunch.

Le logiciel malveillant enregistre silencieusement chaque pression sur une touche et peut lire les notifications des autres applications installées, offrant aux pirates une fenêtre sur ce qui se passe sur l’appareil d’une victime.

Au fil du temps, le malware siphonne les mots de passe des applications bancaires et de crypto-monnaie vers le serveur des pirates.

Les chercheurs ont déclaré que EventBot reste un travail en cours. Pendant plusieurs semaines depuis sa découverte en mars, les chercheurs ont vu le malware se mettre à jour de manière itérative tous les quelques jours pour inclure de nouvelles fonctionnalités malveillantes. À un moment donné, les créateurs du logiciel malveillant ont amélioré le schéma de chiffrement qu’il utilise pour communiquer avec le serveur des pirates informatiques et ont inclus une nouvelle fonctionnalité qui peut récupérer le code de verrouillage de l’appareil d’un utilisateur, ce qui devrait permettre au logiciel malveillant de s’octroyer des privilèges plus élevés à l’appareil de la victime, comme les paiements. et les paramètres système.

Mais alors que les chercheurs ne savent pas qui est derrière la campagne, leurs recherches suggèrent que le malware est tout nouveau.

« Jusqu’à présent, nous n’avons pas observé de cas évidents de copier-coller ou de réutilisation de code à partir d’autres logiciels malveillants et il semble avoir été écrit à partir de zéro », a déclaré Dahan.

Les logiciels malveillants Android ne sont pas nouveaux, mais ils sont en augmentation. Les pirates et les opérateurs de logiciels malveillants ciblent de plus en plus les utilisateurs mobiles car de nombreux propriétaires d’appareils ont leurs applications bancaires, leurs réseaux sociaux et d’autres services sensibles sur leur appareil. Google a amélioré la sécurité d’Android ces dernières années en filtrant les applications dans son magasin d’applications et en bloquant de manière proactive les applications tierces pour réduire les logiciels malveillants – avec des résultats mitigés. De nombreuses applications malveillantes ont échappé à la détection de Google.

Cybereason a déclaré qu’il n’avait pas encore vu EventBot sur l’App Store d’Android ou en cours d’utilisation dans les campagnes de logiciels malveillants, limitant l’exposition aux victimes potentielles – pour l’instant.

Mais les chercheurs ont déclaré que les utilisateurs devraient éviter les applications non fiables provenant de sites et de magasins tiers, dont beaucoup ne filtrent pas leurs applications contre les logiciels malveillants.

Des millions ont téléchargé des dizaines d’applications Android de Google Play qui ont été infectées par des logiciels publicitaires

Traduit de l’anglais de https://techcrunch.com/2020/04/29/eventbot-android-malware-banking/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.