EventBot, czyli jeszcze jeden trojan bankowy na Androida. Potrafi częściowo obejść 2FA

Badacze z firmy Cybereason przestrzegają przed nowym trojanem bankowym występującym na smartfonach z Androidem. Mowa o EventBot, który jest narzędziem o tyle niebezpiecznym, że nie tylko wyciąga dane logowania do serwisów transakcyjnych, ale także pozwala ominąć napastnikowi weryfikację dwuetapową.

EventBot, jak informują badacze, obsługuje co najmniej 200 aplikacji bankowych, pośredników płatności i portfeli kryptowalut. Część z nich bywa wykorzystywanych w Polsce. Są to m.in. apki ING i Santander, ale także Revolut oraz PayPal.

Działa w tle jak klasyczny keylogger, przesyłając do zdalnego serwera ciągi wpisywane w oznaczonych aplikacjach, a co za tym idzie także loginy i hasła. Ale na tym jego możliwości się nie kończą. Potrafi bowiem do tego rejestrować kody blokady ekranu. Co gorsza, ma możliwość pracy w trybie parsera i przekazywania otrzymanych SMS-ów (z kodami autoryzacyjnymi) do napastnika. Ten ostatecznie zyskuje pełen dostęp do środków ofiary.

Dobra wiadomość jest taka, że na razie EventBot nie został odnaleziony w żadnej aplikacji w Sklepie Play. Nie oznacza to jednak, że ciężko o przypadkową infekcję. Według Cybereason, malware często pojawia się w nieoficjalnych repozytoriach w formie plików APK, które naśladują powszechnie znane aplikacje takie jak Microsoft Word lub Adobe Flash. Albo scrackowane wersje nominalnie płatnych narzędzi oraz gier.

Po zainstalowaniu takiego APK, użytkownik zostaje poproszony o przyznanie mu całego szeregu uprawnień, m.in. do pracy w tle, odczytu danych z pamięci, odbierania wiadomości SMS oraz autostratu w przypadku ponownego uruchomienia. Na marginesie: warto zwrócić uwagę, że nie są to zgody, o które zazwyczaj proszą normalne apki i gry.

Uzyskawszy wymagane zgody, EventBot łączy się z serwerem i pobiera listę aplikacji, które powinien skanować. Tu dochodzi coś jeszcze, a mianowicie trzeba pamiętać, że w każdej chwili lista ta może zostać rozszerzona. Czyli jeśli malware w tym momencie nie dotyka klientów danego banku, to nie oznacza, że będzie tak już zawsze.

Przy okazji dostarcza też napastnikom komplet informacji o zainfekowanym urządzeniu: typ i producenta, wersję systemu Android, listę zainstalowanych aplikacji, rodzaj blokady ekranu. W jakim celu? Tego nie wiadomo, ale faktem jest, iż ktoś gromadzi pokaźną bazę danych.

Po pierwsze – chcąc w tym przypadku uniknąć zainfekowania, przede wszystkim nie należy pobierać i instalować aplikacji ze źródeł niezaufanych, szczególnie plików APK znalezionych w szemranych miejscach. Po drugie – większość banków i aplikacji finansowych pozwala ustawić autoryzację nie poprzez SMS, ale powiadomienie w samej aplikacji. Nazywane jest to przeważnie autoryzacją mobilną. Takiego zabezpieczenia EventBot już nie obejdzie.