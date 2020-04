Di Pierguido Iezzi

EventBot Android, il malware progettato per i dispositivi Android che prende di mira oltre 200 applicazioni finanziarie, potrebbe essere il “prossimo grande malware mobile”, avvertono i ricercatori che per primi lo hanno osservato e studiato.

Recentemente scoperto, EventBot Android, è stato progettato per rubare i dati di pagamento degli utenti di popolari applicazioni finanziarie come PayPal, Barclays, CapitalOne e molte altre.

Questo malware, più precisamente un infostealer, ha preso di mira gli utenti di oltre 200 diverse applicazioni bancarie, servizi di trasferimento di denaro e applicazioni per portafogli di criptovalute. Identificato per la prima volta nel marzo 2020, EventBot è ancora in fase di sviluppo, ma i ricercatori avvertono che si sta evolvendo rapidamente con nuove versioni che vengono rilasciate ogni pochi giorni.

EventBot è particolarmente interessante perché si trova in una fase precoce nella sua evoluzione, ma ha un potenziale reale per diventare il prossimo grande malware mobile, in quanto è sotto costanti miglioramenti operativi, abusa di una vulnerabilità critica del sistema operativo Android e prende di mira le applicazioni finanziarie.

Come opera

EventBot non è attualmente stato trovato sul mercato delle applicazioni Google Play, ma i ricercatori hanno detto che il malware è comunque mascherato da applicazioni legittime. Questo li porta a credere che probabilmente viene caricato in negozi APK e siti web di terze parti sotto le spoglie di applicazioni reali, come Adobe Flash o le app di Microsoft Word.

Una volta installato, il malware richiede varie autorizzazioni sui dispositivi delle vittime (sempre con la pretesa di essere un’applicazione legittima). Queste autorizzazioni consentono all’app di lanciarsi dopo il riavvio del sistema, di eseguire e utilizzare i dati in background, di leggere e ricevere messaggi di testo, di accedere a informazioni sulle reti e altro ancora.

Inoltre, EventBot invita l’utente ad accedere ai servizi di accessibilità di Android, aprendo una serie di possibilità potenzialmente critiche a livello di sicurezza.

I servizi di accessibilità sono tipicamente utilizzati per assistere gli utenti con disabilità nell’utilizzo di dispositivi e applicazioni Android. Tuttavia, questi sono spesso abusati anche da malware, dai trojan bancari ai veri e propri spyware.

L’accesso a questi permessi dà al malware la possibilità di operare come keylogger e di recuperare le notifiche sulle varie applicazioni installate, hanno detto i ricercatori.

In particolare, EventBot può intercettare messaggi SMS e bypassare i meccanismi di autenticazione a due fattori.

Al momento dell’esecuzione, EventBot scarica anche un file di configurazione con i 200 diversi target di app finanziarie. I target specifici sono gli utenti delle app negli Stati Uniti e in Europa (tra cui Italia, Regno Unito, Spagna, Svizzera, Francia e Germania).

I ricercatori hanno notato significativi aggiornamenti nel corso di poche settimane mentre monitoravano EventBot.

Per esempio, le versioni più recenti includono un nuovo metodo chiamato grabScreenPin, che sfrutta la funzione di accessibilità per tenere traccia delle modifiche del codice PIN nelle impostazioni del dispositivo.

Il PIN viene inviato al server di comando e controllo (C2), presumibilmente per dare al malware la possibilità di eseguire azioni privilegiate sui dispositivi infetti relative ai pagamenti e alle opzioni di configurazione del sistema. Inoltre, nelle versioni più recenti, il malware ha offuscato il loader precedentemente non nascosto.

I ricercatori non sono stati in grado di identificare alcuna conversazione su EventBot sui forum underground, dove il nuovo malware viene spesso introdotto, promosso e venduto – rafforzando ulteriormente il loro sospetto che il malware sia ancora in fase di sviluppo e non sia stato ufficialmente rilasciato. Tuttavia, hanno avvertito che EventBot continua a ricevere aggiornamenti settimanali, come si è visto nelle sue stringhe botnetID, che mostrano una numerazione consecutiva tra le varie versioni.

Con ogni nuova versione, il malware aggiunge nuove funzionalità come il caricamento dinamico della libreria, la crittografia e gli aggiustamenti a diversi locali e produttori.