- Lid geworden
- 2 aug 2016
- Berichten
- 33.536
- Leeftijd
- 69
- OS
- Windows 10 Professional
- AV
- AVG Internet security
- FW
- AVG Firewall
Mobiele bankklanten in gevaar door nieuwe EventBot trojan
Gebruikers van online retailbankieren, geldtransferdiensten en andere financiële diensten worden gewaarschuwd
om op hun hoede te zijn voor een nieuwe Android mobiele banktrojan, EventBot genaamd, die zich richt op
gebruikers van meer dan 200 diensten in heel Europa en de VS, waaronder Barclays, CapitalOne, HSBC en Santander.
EventBot werd voor het eerst gespot in maart van dit jaar en is uitgebreid gevolgd door onderzoekers van
Cybereason's Nocturnus team. Het maakt misbruik van Android's toegankelijkheidsfuncties om
gebruikersgegevens van applicaties te stelen, SMS-berichten te lezen en SMS-berichten te stelen - dit laatste
geeft het de mogelijkheid om authenticatie met twee factoren te omzeilen.
Assaf Dahan, hogere directeur en hoofd van bedreigingsonderzoek bij Cybereason, zei er elke kans was dat
EventBot de volgende grote mobiele malwarebedreiging kon worden, aangezien het duidelijk was zijn
ontwikkelaars tijd en inspanning hebben geïnvesteerd om een hoogst verfijnd en geschikt stuk van software te coderen.
"Door toegang te krijgen tot deze gegevens en ze te stelen, heeft EventBot het potentieel om toegang te krijgen
tot belangrijke bedrijfsgegevens, inclusief financiële gegevens," zei Dahan. "Mobiele malware is geen lachertje en
het is een belangrijk risico voor zowel organisaties als consumenten."
Dahan, die naast Daniel Frank, Lior Rochberger en Yaron Rimmer aan het EventBot-onderzoek werkte, zei dat de
trojan het team bijzonder interessant vond omdat het in de vroege stadia van zijn levenscyclus was gesignaleerd
en momenteel frequente iteratieve verbeteringen ondergaat.
Het Nocturnus team heeft op het moment van schrijven vier versies van de EventBot trojan gevonden, namelijk
0.0.0.1, 0.0.0.2, 0.3.0.1 en 0.4.0.1, waarbij elke versie zijn functionaliteit uitbreidt en nieuwe functies toevoegt om
de analyse te verdoezelen.
Net als veel andere malwaresoorten, verleidt EventBot zijn slachtoffers om hem toegang te geven tot de
Android-toegankelijkheidsfunctie. Deze functies zijn voornamelijk ontworpen om gebruikers met een handicap
te ondersteunen en om legitieme apps bepaalde functies te laten automatiseren, zoals het schrijven in
invoervelden, het automatisch genereren van rechten en het uitvoeren van gebaren voor de gebruiker.
In het geval van kwaadaardige apps kunnen toegankelijkheidsdiensten echter worden gebruikt om meer
snode functies mogelijk te maken - in het geval van EventBot krijgt het de mogelijkheid om als keylogger te
werken en kan het apparaat meldingen over andere geïnstalleerde apps en de inhoud van geopende vensters
opvragen. Uiteindelijk exfiltreert EventBot apparaatgegevens naar zijn command and control (C2) server.
"Dit onderzoek geeft een zeldzame blik op de procesverbeteringen die malware-auteurs maken bij het
optimaliseren voor de lancering," zei hij. "Door in het offensief te gaan en de aanvallers op te jagen, was ons
team in staat om de vroege stadia van wat een zeer gevaarlijke mobiele malware kan zijn, op te sporen".
Het Nocturnus-team zei dat het had geprobeerd om de dreigingsactoren achter de trojan te identificeren,
maar zonder succes tot nu toe. Het heeft geen gesprekken over EventBot op ondergrondse platforms gevolgd,
wat Dahan zei dat het zijn verdenkingen versterkte dat het nog steeds een snelle ontwikkeling doormaakt en
niet officieel op de markt is gebracht of vrijgegeven. Het is zeker nog niet gebruikt in grote aanvalscampagnes.
Desondanks dient de opkomst van EventBot als een legitieme dreiging als geheugensteuntje voor organisaties
om zich beter te verdedigen tegen dreigingen die gericht zijn op mobiele apparaten, waarvan het gebruik op
dit moment bijzonder hoog is omdat miljoenen mensen op afstand werken.
Het spreekt voor zich dat organisaties die mobiele apparaten met Android gebruiken - evenals individuele
consumenten - altijd de volgende zaken moeten doen: apparaten up-to-date houden met de nieuwste
software-updates van legitieme bronnen; de Play Protect-service van Google ingeschakeld houden;
alleen enkel apps downloaden uit de Google Play-winkel; goed nadenken over welke machtigingen apps
vragen en of ze deze al dan niet moeten verlenen; en in geval van twijfel de APK-handtekeningen en
hashes van apparaten controleren via bronnen zoals VirusTotal voordat ze worden geïnstalleerd; en indien
mogelijk mobiele diensten voor het opsporen van bedreigingen gebruiken.
Een blog met volledige openheid van zaken over het onderzoek van het team van Nocturnus, met inbegrip
van de indicatoren voor compromis (IOC's) en informatie over de verschillende iteraties die EventBot
heeft doorlopen, kan hier worden gelezen.
Gebruikers van online retailbankieren, geldtransferdiensten en andere financiële diensten worden gewaarschuwd
om op hun hoede te zijn voor een nieuwe Android mobiele banktrojan, EventBot genaamd, die zich richt op
gebruikers van meer dan 200 diensten in heel Europa en de VS, waaronder Barclays, CapitalOne, HSBC en Santander.
EventBot werd voor het eerst gespot in maart van dit jaar en is uitgebreid gevolgd door onderzoekers van
Cybereason's Nocturnus team. Het maakt misbruik van Android's toegankelijkheidsfuncties om
gebruikersgegevens van applicaties te stelen, SMS-berichten te lezen en SMS-berichten te stelen - dit laatste
geeft het de mogelijkheid om authenticatie met twee factoren te omzeilen.
Assaf Dahan, hogere directeur en hoofd van bedreigingsonderzoek bij Cybereason, zei er elke kans was dat
EventBot de volgende grote mobiele malwarebedreiging kon worden, aangezien het duidelijk was zijn
ontwikkelaars tijd en inspanning hebben geïnvesteerd om een hoogst verfijnd en geschikt stuk van software te coderen.
"Door toegang te krijgen tot deze gegevens en ze te stelen, heeft EventBot het potentieel om toegang te krijgen
tot belangrijke bedrijfsgegevens, inclusief financiële gegevens," zei Dahan. "Mobiele malware is geen lachertje en
het is een belangrijk risico voor zowel organisaties als consumenten."
Dahan, die naast Daniel Frank, Lior Rochberger en Yaron Rimmer aan het EventBot-onderzoek werkte, zei dat de
trojan het team bijzonder interessant vond omdat het in de vroege stadia van zijn levenscyclus was gesignaleerd
en momenteel frequente iteratieve verbeteringen ondergaat.
Het Nocturnus team heeft op het moment van schrijven vier versies van de EventBot trojan gevonden, namelijk
0.0.0.1, 0.0.0.2, 0.3.0.1 en 0.4.0.1, waarbij elke versie zijn functionaliteit uitbreidt en nieuwe functies toevoegt om
de analyse te verdoezelen.
Net als veel andere malwaresoorten, verleidt EventBot zijn slachtoffers om hem toegang te geven tot de
Android-toegankelijkheidsfunctie. Deze functies zijn voornamelijk ontworpen om gebruikers met een handicap
te ondersteunen en om legitieme apps bepaalde functies te laten automatiseren, zoals het schrijven in
invoervelden, het automatisch genereren van rechten en het uitvoeren van gebaren voor de gebruiker.
In het geval van kwaadaardige apps kunnen toegankelijkheidsdiensten echter worden gebruikt om meer
snode functies mogelijk te maken - in het geval van EventBot krijgt het de mogelijkheid om als keylogger te
werken en kan het apparaat meldingen over andere geïnstalleerde apps en de inhoud van geopende vensters
opvragen. Uiteindelijk exfiltreert EventBot apparaatgegevens naar zijn command and control (C2) server.
"Dit onderzoek geeft een zeldzame blik op de procesverbeteringen die malware-auteurs maken bij het
optimaliseren voor de lancering," zei hij. "Door in het offensief te gaan en de aanvallers op te jagen, was ons
team in staat om de vroege stadia van wat een zeer gevaarlijke mobiele malware kan zijn, op te sporen".
Het Nocturnus-team zei dat het had geprobeerd om de dreigingsactoren achter de trojan te identificeren,
maar zonder succes tot nu toe. Het heeft geen gesprekken over EventBot op ondergrondse platforms gevolgd,
wat Dahan zei dat het zijn verdenkingen versterkte dat het nog steeds een snelle ontwikkeling doormaakt en
niet officieel op de markt is gebracht of vrijgegeven. Het is zeker nog niet gebruikt in grote aanvalscampagnes.
Desondanks dient de opkomst van EventBot als een legitieme dreiging als geheugensteuntje voor organisaties
om zich beter te verdedigen tegen dreigingen die gericht zijn op mobiele apparaten, waarvan het gebruik op
dit moment bijzonder hoog is omdat miljoenen mensen op afstand werken.
Het spreekt voor zich dat organisaties die mobiele apparaten met Android gebruiken - evenals individuele
consumenten - altijd de volgende zaken moeten doen: apparaten up-to-date houden met de nieuwste
software-updates van legitieme bronnen; de Play Protect-service van Google ingeschakeld houden;
alleen enkel apps downloaden uit de Google Play-winkel; goed nadenken over welke machtigingen apps
vragen en of ze deze al dan niet moeten verlenen; en in geval van twijfel de APK-handtekeningen en
hashes van apparaten controleren via bronnen zoals VirusTotal voordat ze worden geïnstalleerd; en indien
mogelijk mobiele diensten voor het opsporen van bedreigingen gebruiken.
Een blog met volledige openheid van zaken over het onderzoek van het team van Nocturnus, met inbegrip
van de indicatoren voor compromis (IOC's) en informatie over de verschillende iteraties die EventBot
heeft doorlopen, kan hier worden gelezen.
