Innerhalb der letzten Wochen hat das Cybereason Nocturnus-Team einen neuen Typus von Android-Malware untersucht, die EventBot getauft und erstmals im März 2020 aufgedeckt wurde. Bei der Malware handelt es sich offensichtlich um eine Neuentwicklung, die sich deutlich von bisher bekannter Android-Malware unterscheidet.
EventBot wird aktiv weiterentwickelt und entfaltet sich sehr schnell. Alle paar Tage werden neue verbesserte Versionen mit weiteren Funktionsmerkmalen veröffentlicht.
EventBot missbraucht die Accessibility Features von Android um auf wertvolle Benutzerinformationen, Systeminformationen und Daten zuzugreifen, die in anderen Anwendungen gespeichert sind. Insbesondere kann EventBot SMS-Nachrichten abfangen und mitlesen und die 2-Faktor-Authentifizierung umgehen. Das Cybereason Nocturnus-Team hat festgestellt, dass sich die Malware gegen die Nutzer von über 200 verschiedene Banken- und Finanz-Apps richtet, die Mehrzahl von ihnen solche von europäischen Banken und zum Austausch von Kryptowährungen. Indem EventBot auf diese Daten zugreift und sie extrahiert, hat die Malware das Potenzial an geschäftliche Schlüsseldaten und finanzielle Informationen zu gelangen.
Inzwischen sind 60 % aller Geräte, die auf Unternehmensdaten zugreifen, mobile Endgeräte. Auf diesen sind in aller Regel nicht unbeträchtliche Mengen persönlicher und geschäftlicher Daten gespeichert, vorausgesetzt das Unternehmen arbeitet nach einer Bring-your-own-Device-
In der vorliegenden Untersuchung zergliedert das Nocturnus-Team eine sich rasch weiterentwickelnde Android-Malware während diese quasi noch „in der Mache“ ist. EventBot macht sich als Infostealer das Accessibility Feature von Android zunutze, um Informationen abzuziehen. Der Trojaner ist in der Lage, seinen Code zu aktualisieren sowie alle paar Tage neue Funktionen zu veröffentlichen. Mit jeder neuen Version kommen Funktionen wie das Laden dynamischer Bibliotheken, Verschlüsselung und Anpassungen an unterschiedliche Umgebungen und Hersteller dazu. Als komplett neue Malware in einem relativ frühen Entwicklungsstadium erlaubt EventBot einen interessanten Einblick, wie Hacker üblicherweise eine Malware entwerfen und testen.
Aufgrund der analysierten Funktionsmerkmale klassifiziert Cybereason EventBot als Bankentrojaner und Infostealer. Er benutzt Webinjects und die Fähigkeit Kurznachrichten zu lesen, um die 2-Faktor-Authentifizierung zu umgehen und richtet sich dabei gezielt gegen Finanz-Apps.
Auch, wenn der Entwickler von EventBot bislang unbekannt ist und die Malware noch nicht in schwerwiegende Angriffe verwickelt gewesen zu sein scheint, ist es dennoch interessant sie in diesem frühen Stadium zu beobachten – was das Nocturnus-Team natürlich auch weiterhin tun wird.
In den letzten Jahren haben sich Online-Aktivitäten nach und nach von stationären Rechnern auf Mobilgeräte verlagert. Das hat ganz natürlich zur Einführung neuer Malware-Typen geführt, die sich speziell gegen mobile Plattformen richten, insbesondere, aber nicht nur, gegen Android-basierte Geräte – darunter Malware wie Cerberus, Xhelper und der Anubis Bankingtrojaner. Viele von uns nutzen mobile Geräte für Online-Shopping und sogar für das Online-Banking. Es verwundert also nicht, dass sich der Bereich als für Cyberkriminelle zunehmend profitabel erweist.
Die wichtigsten Ergebnisse in Kurzform
- Das Cybereason Nocturnus Team untersucht EventBot, einen neuen Typ von Malware, der sich vornehmlich gegen Android-Nutzer richtet, und ungefähr im März 2020 auftauchte. EventBot ist ein mobiler Bankentrojaner und Infostealer, der sich die Accessibility Features in Android zunutze macht, um Benutzerdaten aus Finanz-Apps abzuziehen, SMS-Nachrichten mitzulesen und SMS-Nachrichten zu stehlen, was es der Malware erlaubt, die 2-Faktor-Authentifizierung zu umgehen.
- EventBot richtet sich gegen die Nutzer von über 200 verschiedenen Finanz-Apps, dazu zählen Banking-Apps, Online-Überweisungsdienste und elektronische Geldbörsen für Kryptowährungen. Darunter Anwendungen und Banken wie Paypal Business, Revolut, Barclays, U
niCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase, pa ysafecard und viele andere mehr.
- EventBot hat es dabei besonders auf Finanz- und Banking-Apps in den Vereinigten Staaten und Europa, einschließlich Italien, dem Vereinigten Königreich, Spanien, der Schweiz, Frankreich und Deutschland abgesehen. Eine vollständige Liste der betroffenen Apps finden Sie im Anhang der Analyse.
- EventBot ist besonders deshalb interessant, weil sich die Malware noch in einem so frühen Stadium befindet. Diese brandneue Schadsoftware hat durchaus das Potenzial die nächste große Gefahr in Sachen mobiler Malware zu werden. Dafür spricht, dass sie fortlaufend verbessert wird, dass sie sich eine wichtige Funktion des Betriebssystems zunutze macht, und dass sie sich speziell gegen Finanz-Apps richtet.
- Diese Untersuchung gibt einen der eher seltenen Einblick in die Prozessverbesserungen, die Malware-Urheber bei der Optimierung vor dem Start vornehmen. In diesem Fall sind die Sicherheitsforscher dazu in die Offensive gegangen und haben ihrerseits die Hacker gejagt. Durch diese Vorgehensweise war es möglich, die Malware in sehr frühen Stadien ans Licht zu bringen – noch bevor sie vielleicht zu einer äußerst gefährlichen mobilen Schadsoftware mutiert.
Sicherheitsempfehlungen
- Laden Sie keine mobilen Applikationen aus inoffiziellen und nicht autorisierten Quellen herunter. Legitime Apps für Android sind im Google Play Store erhältlich.
- Bewahren Sie sich kritisches Denken und erwägen Sie, ob Sie einer bestimmten App wirklich alle Berechtigungen geben wollen, die sie verlangt.
- Wenn Sie Zweifel haben, überprüfen Sie die APK-Signatur und die Hash-Werte in Quellen wie VirusTotal bevor Sie eine App auf Ihrem Gerät installieren.
- Verwenden Sie Sicherheitslösungen speziell für mobile Endgeräte
Weitere Informationen:
Der komplette Report steht Ihnen ab sofort hier zum
www.cybereason.com