Lo studio di Cyberason ha recentemente scoperto l’esistenza di EventBot, un malware molto pericoloso per dispositivi Android capace di rubare password per applicazioni bancarie e codici per l’accesso con l’autenticazione a due fattori.
Il malware, travestito da app lecita come Adobe Flash o Microsoft Word, può essere installato sul telefono da un utente inconsapevole in cerca di app fuori dal Play Store oppure da un hacker con accesso al telefono delle vittima. Una volta installata la finta app, il malware può sfruttare le funzioni di accessibilità per ottenere l’accesso a parti importanti del sistema operativo, sottrarre silenziosamente le password per oltre 200 app bancarie e di criptovaluta – tra cui PayPal, Coinbase, CapitalOne e HSBC – e intercettare i codici dei messaggi di autenticazione a due fattori. Con la password di una vittima e il codice a due fattori, gli hacker possono entrare in conti bancari, app e portafogli e rubare il denaro della vittima.
Assaf Dahan, a capo della ricerca per le minacce presso Cybereason, ha detto al sito TechCrunch: “Chi ha sviluppato Eventbot ha investito un sacco di tempo e risorse nel creare il codice, e il livello di sofisticatezza e le capacità [impiegate] sono molto alte“
Il malware è inoltre in continua evoluzione. Nelle settimane trascorse dalla sua scoperta a marzo, i ricercatori hanno visto come l’app malevola abbia ricevuto costantemente aggiornamenti a distanza di pochi giorni con nuove funzionalità. Tra queste, gli hacker hanno migliorato la connessione cifrata al server, ovvero il canale attraverso cui i criminali comunicano con le app e ricevono i dati rubati, ed è stata aggiunta la capacità di intercettare il codice di sblocco del cellulare, utilizzabile per ottenere accesso a parti più critiche del sistema.
Sembra inoltre che il malware sia del tutto nuovo, piuttosto che una reiterazione di qualcosa visto in passato: “Fino ad ora non abbiamo osservato nessuno caso chiaro di copia diretta o riutilizzo di codice da altri malware noti, e sembra proprio che sia stato scritto da zero“.
Come proteggersi: Google ha migliorato la sicurezza di Android negli ultimi anni, grazie anche ad applicazioni di screening e al blocco proattivo di app di terze parti. Al momento EventBot non sembra essere presente sul Play Store, quindi se non avete scaricato di recente app al di fuori di questo non dovrebbero esserci problemi, almeno per quanto riguarda a questa minaccia. In ogni caso, è sempre meglio evitare di installare applicazioni che provengono da fonti sconosciute e prestare sempre la massima attenzione.
https://techcrunch.com/2020/04/29/eventbot-android-malware-banking/