Die Wahrheit über den EventBot-Android-Trojaner, der angeblich 2FA umgeht

Samuel Bakken, 15. Mai 2020
The Truth About the EventBot Android Trojan That Allegedly Bypasses 2FA

Ende April fielen mir Berichte über eine neue Art von Mobile-Banking-Malware für Android auf, die angeblich die Zwei-Faktor-Authentifizierung umgehen kann. Die neue Malware zielt auf fast 200 Apps für mobile Finanzdienstleistungen in verschiedenen Regionen ab, darunter in den USA, Italien, Großbritannien, Spanien, der Schweiz, Frankreich und Deutschland. Aber was ist neu an dieser Sorte? Wie ernst ist die Bedrohung? Was müssen Entwickler tun, um sich und ihre Benutzer vor diesen und ähnlichen Bedrohungen zu schützen? Folgendes habe ich in Absprache mit einigen unserer Sicherheitsexperten für mobile Apps und bei der Überprüfung der Sicherheitsforschung und verschiedener Medienberichte herausgefunden.

EventBot Android Malware Analyse

Zunächst einmal stellt sich heraus, dass kein Grund zur Panik besteht. EventBot ist derzeit nicht Teil aktiver Kampagnen. Das könnte sich jedoch jeden Tag ändern, und es erinnert uns alle daran, nicht selbstgefällig oder faul zu werden. Die Forscher, die EventBot entdeckt haben, haben gesagt, dass es sich in einem „frühen Stadium“ befindet und sich in der aktiven Entwicklung befindet. Während EventBot nicht unbedingt ausgefeilter oder gefährlicher ist als Mobile-Banking-Trojaner der Vergangenheit, glauben die Sicherheitsforscher, dass es sich um eine neuartige Sorte handelt und nicht um einen einfachen Klon oder eine Kopie anderer Mobile-Banking-Trojaner, die es bereits gibt. Dies ist ein Beweis dafür, dass Kriminelle immer noch Wert darauf legen, Zeit, Mühe und Geld in die Entwicklung von Mobile-Banking-Malware-Innovationen zu investieren. Und solange Angreifer Wert darin sehen, ist dies ein Signal dafür, dass Entwickler, Apple, Google und Mobilfunkanbieter Sicherheitslücken in ihren Apps hinterlassen, die böswillige Personen leicht ausnutzen können.

Funktionsweise der Eventbot Android-Malware und Risikominderung

EventBot verwendet die gleichen Tricks wie die meisten mobilen Malware-Programme für Bank-Apps, einschließlich Funktionen wie Lesen von SMS-Nachrichten, Starten von Overlay-Angriffen und Ausführen anderer böswilliger Aktivitäten wie Keylogging. Überlagerungen sind heutzutage weit verbreitet. ein Studie Im vergangenen Sommer stellten 51 Prozent der bösartigen Android-Apps Overlay-Angriffe fest. Mit einem Overlay-Bildschirm zeigt die Malware ein weiteres Fenster über der legitimen Anwendung an, um Benutzer dazu zu verleiten, ihre Anmeldeinformationen oder andere Informationen preiszugeben. Die Malware gewinnt an Macht, indem sie den Benutzer dazu verleitet, ihm eine Reihe leistungsfähiger Berechtigungen zu erteilen - und damit die Barrierefreiheitsfunktion von Android missbraucht.

Sobald diese Berechtigungen erteilt wurden, kann die Android-Malware Tastenanschläge protokollieren, um Anmeldeinformationen zu stehlen und an den Angreifer zu senden sowie Benachrichtigungen und Inhalte zu lesen, die von einer Ziel-App angezeigt werden. Entwickler können die Risiken von EventBot mit ein paar einfachen Best Practices für Cybersicherheit verringern:

  1. Angenommen, Ihre App funktioniert in einigen Fällen in feindlichen mobilen Umgebungen wie einem mit Malware infizierten Android-Gerät. Treffen Sie Vorsichtsmaßnahmen, um Ihre App sicher zu codieren. Speichern Sie beispielsweise keine Daten im freigegebenen externen Speicher, auf die alle böswilligen oder nicht böswilligen Apps zugreifen können.
     
  2. Verwenden Sie keine Codes, die per SMS gesendet werden, um Benutzer zu authentifizieren. Nichts ist perfekt, aber Push-Benachrichtigungen sind die bessere Wahl.
     
  3. Fügen Sie Mobile-Banking-Apps mit App-Shielding, auch als Selbstschutz für Laufzeitanwendungen bezeichnet, eine zusätzliche Schutzschicht hinzu, um zu verhindern, dass Malware die Laufzeitumgebung Ihrer Mobile-App manipuliert.

Schließen von Gedanken zur EventBot-Malware

EventBot scheint zwar eine neue Malware-Sorte zu sein, ist aber nicht unbedingt ausgefeilter als andere Malware, die wir in der Vergangenheit gesehen haben. Ein Sicherheitsexperte, der EventBot analysierte, gab an, dass er es nicht zu den drei gefährlichsten Malware-Programmen zählen würde, die Barrierefreiheitsdienste missbrauchen, und nennt es nur einen „Keylogger mit zusätzlichen Berechtigungen“. Wenn Sie geeignete Vorsichtsmaßnahmen gegen die breitere Sammlung mobiler Cybersicherheitsbedrohungen treffen, werden Ihre Benutzer wahrscheinlich vor solchen Angriffen geschützt. Insbesondere nach dem Testen wissen wir, dass die App-Abschirmungsoption in der Mobile Security Suite von OneSpan die Screenreading-Aktivitäten von EventBot erkennen und unterbinden kann. Wenn das Gerät eines Benutzers mit der EventBot-Malware infiziert war, auf die verwendete mobile App jedoch die OneSpan-App-Abschirmung angewendet wurde, kann die Malware den Bildschirminhalt nicht lesen, selbst wenn der Benutzer der App Zugriffsberechtigungen erteilt hat.

Abschirmung mobiler Apps
Whitepaper

Abschirmung mobiler Apps: So reduzieren Sie Betrug, sparen Geld und schützen Ihre Einnahmen

Wenn Ihnen dieser Podcast gefallen hat, laden Sie dieses Whitepaper herunter. Erfahren Sie, wie App-Shielding mit Laufzeitschutz der Schlüssel zur Entwicklung einer sicheren, ausfallsicheren Mobile-Banking-App ist.

Jetzt herunterladen

Sam ist Senior Product Marketing Manager und verantwortlich für das OneSpan Mobile Security-Portfolio. Er verfügt über fast 10 Jahre Erfahrung in der Informationssicherheit.