Android: le malware EventBot cible PayPal et CapitalOne

Un nouveau malware Android a été découvert. Ce dernier dérobe les données de paiement des utilisateurs d’applications de finances populaires comme PayPal, Barclays, CapitalOne et plus encore.

L’infostealer, appelé EventBot, a ciblé les utilisateurs de plus de 200 services bancaires, de transfert d’argent et d’applications de portefeuille de crypto-monnaie. Identifié pour la première fois en mars 2020, EventBot est encore en début de développement mais les chercheurs avertissent qu’il évolue rapidement avec de nouvelles versions qui sortent pratiquement tous les jours.

“EventBot est particulièrement intéressant car il en est à ses débuts”, ont déclaré Daniel Frank, Lior Rochberger, Yaron Rimmer et Assaf Dahan de Cybereason, dans une analyse. “Ce tout nouveau malware a un réel potentiel pour devenir le prochain gros malware mobile, car il fait l’objet d’améliorations constantes, abuse d’une fonctionnalité critique du système d’exploitation et cible les applications financières.”

EventBot n’est pas actuellement sur Google Play, mais les chercheurs ont déclaré que le malware se déguisait en applications légitimes. Cela les amène à croire qu’il est probablement téléchargé sur des magasins APK malveillants et des sites Web tiers en se faisant passer pour des applications réelles, telles que les applications Adobe Flash ou Microsoft Word.

android sdk

Une fois installé, le malware demande diverses autorisations sur les appareils des victimes (toujours sous prétexte d’être une application légitime). Ces autorisations permettent à l’application de se lancer après le redémarrage du système, de s’exécuter et d’utiliser des données en arrière-plan, de lire et de recevoir des messages texte, d’accéder à des informations sur les réseaux et plus encore.

Les services d’accessibilité Android

En outre, EventBot invite l’utilisateur à lui donner accès aux services d’accessibilité d’Android, ouvrant ainsi un éventail de possibilités malveillantes. Android note que les services d’accessibilité sont généralement utilisés pour aider les utilisateurs handicapés à utiliser des appareils et des applications Android. Cependant, ceux-ci sont également souvent exploités par les logiciels malveillants.

L’accès à ces autorisations donne au malware la possibilité de fonctionner comme un enregistreur de frappe(keylogger) et de récupérer des notifications sur diverses applications installées.

“EventBot abuse de la fonctionnalité d’accessibilité d’Android pour accéder à de précieuses informations utilisateur, aux informations système et aux données stockées dans d’autres applications”, ont déclaré les chercheurs. «En particulier, EventBot peut intercepter des messages SMS et contourner les mécanismes d’authentification à deux facteurs.»

Lors de l’exécution, EventBot télécharge également un fichier de configuration avec 200 cibles d’applications financières différentes (voir la liste complète des applications ciblées dans l’index de recherche, ici). Les utilisateurs qui sont particulièrement ciblés par ce malware se trouve aux États-Unis et en Europe (Italie, Royaume-Uni, Espagne, Suisse, France et Allemagne).

android eventbot

Les chercheurs ont noté des mises à jour importantes au cours des dernières semaines dans leur suivi d’EventBot.

Par exemple, les nouvelles versions incluent une nouvelle méthode appelée grabScreenPin, qui exploite la fonctionnalité d’accessibilité pour suivre les modifications du code PIN dans les paramètres de l’appareil. Ce numéro PIN est envoyé au serveur de commande et de contrôle (C2), probablement pour donner au malware la possibilité d’effectuer des actions privilégiées sur les appareils infectés liées aux paiements et aux options de configuration du système, ont déclaré les chercheurs. De plus, dans les versions plus récentes, le logiciel malveillant a aussi dissimulé le loader.

EventBot est tout neuf

Les chercheurs n’ont pas pu identifier de conversations concernant EventBot sur des forums clandestins, où de nouveaux logiciels malveillants sont souvent introduits, promus et vendus – renforçant ainsi leur suspicion selon laquelle le logiciel malveillant est toujours en cours de développement et n’a pas été officiellement publié. Cependant, ils ont averti qu’EventBot continue de recevoir des mises à jour hebdomadaires, comme le montrent ses chaînes botnetID, qui montrent une numérotation consécutive entre les versions.

“Avec chaque nouvelle version, le malware ajoute de nouvelles fonctionnalités comme le chargement dynamique de la bibliothèque, le chiffrement et les ajustements aux différents sites et fabricants”, ont déclaré les chercheurs. “EventBot semble être un tout nouveau malware dans les premiers stades de développement, nous donnant une vue intéressante sur la façon dont les attaquants créent et testent leur malware.”

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x