EventBot, el malware de Android que roba contrase√Īas bancarias

Los investigadores de seguridad están haciendo sonar la alarma sobre un malware Android, llamado EventBot. Fue recién descubierto por la firma de seguridad Cybereason y se dirige a aplicaciones bancarias y billeteras de criptomonedas.

¬ŅC√≥mo funciona EventBot?

El malware se hace pasar por una aplicaci√≥n leg√≠tima de Android como Adobe Flash o Microsoft Word para Android. ¬ŅQu√© hacen estas supuestas aplicaciones leg√≠timas? Abusan de las funciones de accesibilidad incorporadas de Android para obtener un acceso profundo al sistema operativo del m√≥vil.

Una vez instalada, ya sea por un usuario desprevenido o por una persona maliciosa con acceso al tel√©fono de la v√≠ctima, la aplicaci√≥n falsa infectada por EventBot extrae silenciosamente las contrase√Īas de m√°s de 200 aplicaciones bancarias y de criptomonedas. ¬ŅC√≥mo cu√°les? Como PayPal, Coinbase, CapitalOne y HSBC, e intercepta y c√≥digos de mensajes de texto de autenticaci√≥n de dos factores.

Con la contrase√Īa de una v√≠ctima y el c√≥digo de dos factores, los piratas inform√°ticos pueden ingresar a cuentas bancarias, aplicaciones y billeteras, y robar los fondos de una v√≠ctima.

¬ęEl desarrollador detr√°s de Eventbot ha invertido mucho tiempo y recursos en la creaci√≥n del c√≥digo, y el nivel de sofisticaci√≥n y capacidades es realmente alto¬Ľ, dijo Assaf Dahan, jefe de investigaci√≥n de amenazas en Cybereason a TechCrunch.

El malware registra silenciosamente cada pulsación de teclas. También puede leer notificaciones de otras aplicaciones instaladas. Esto le da los piratas informáticos una ventana de lo que está sucediendo en el móvil de una víctima.

Con el tiempo, el malware desv√≠a las contrase√Īas de las aplicaciones bancarias y de criptomonedas al servidor de los piratas inform√°ticos.

El malware fue descubierto en marzo

EventBot, el malware de Android que roba contrase√Īas bancarias

Los investigadores dijeron que EventBot sigue siendo un trabajo en progreso. Durante un período de varias semanas desde su descubrimiento en marzo, los investigadores vieron que el malware se actualizaba iterativamente cada pocos días para incluir nuevas características maliciosas.

En un momento, los creadores del malware mejoraron el esquema de encriptaci√≥n que usa para comunicarse con el servidor de los hackers. Tambi√©n incluyeron una nueva caracter√≠stica que puede obtener el c√≥digo de bloqueo del tel√©fono de un usuario. Esto probablemente le permita al malware otorgar mayores privilegios al m√≥vil de la v√≠ctima. ¬ŅC√≥mo cu√°les? Como pagos y configuraciones del sistema.

Pero aunque los investigadores no saben qui√©n est√° detr√°s de la campa√Īa, su investigaci√≥n sugiere que el malware es completamente nuevo.

¬ęHasta ahora, no hemos observado casos claros de copia-pegado o reutilizaci√≥n de c√≥digo de otro malware y parece que se ha escrito desde cero¬Ľ, dijo Dahan.

EventBot est√° aumentando

EventBot, el malware de Android que roba contrase√Īas bancarias

El malware de Android no es nuevo, pero est√° en aumento. Los hackers y los operadores de malware se han dirigido cada vez m√°s a los usuarios de m√≥viles. ¬ŅPor qu√©? Porque muchos propietarios de m√≥viles tienen sus aplicaciones bancarias, redes sociales y otros servicios sensibles en sus tel√©fonos.

Google ha mejorado la seguridad de Android en los √ļltimos a√Īos mediante la detecci√≥n de aplicaciones en su tienda de aplicaciones y el bloqueo proactivo de aplicaciones de terceros para reducir el malware, con resultados mixtos. Muchas aplicaciones maliciosas han evadido la detecci√≥n de Google.

Cybereason dijo que a√ļn no ha visto EventBot en la tienda de aplicaciones de Android o en uso activo en campa√Īas de malware. Esto limita la exposici√≥n a posibles v√≠ctimas, por ahora.

Pero los investigadores dijeron que los usuarios deberían evitar las aplicaciones no confiables de sitios y tiendas de terceros. Muchas de las cuales no detectan sus aplicaciones en busca de malware.

:)