La verdad sobre el troyano Android EventBot que supuestamente omite 2FA

The Truth About the EventBot Android Trojan That Allegedly Bypasses 2FA

A finales de abril, me llamaron la atención los informes de una nueva variedad de malware de banca móvil para Android que supuestamente puede pasar por alto la autenticación de dos factores. El nuevo malware se dirige a casi 200 aplicaciones de servicios financieros móviles en múltiples geografías, incluidos Estados Unidos, Italia, Reino Unido, España, Suiza, Francia y Alemania. Pero, ¿qué hay de nuevo en esta variedad? ¿Qué tan grave es la amenaza? ¿Qué deben hacer los desarrolladores para protegerse a sí mismos y a sus usuarios de esta y otras amenazas similares? Lo siguiente es lo que descubrí en consulta con algunos de nuestros expertos en seguridad de aplicaciones móviles y al revisar la investigación de seguridad y varios informes de los medios.

Análisis de malware de EventBot para Android

En primer lugar, resulta que no hay necesidad de entrar en pánico. EventBot no se ha encontrado como parte de ninguna campaña activa en este momento. Sin embargo, eso podría cambiar cualquier día, y es un recordatorio para todos nosotros de no ser complacientes o flojos. Los investigadores que descubrieron EventBot han dicho que está en sus "primeras etapas" y en desarrollo activo. Si bien EventBot no es necesariamente más sofisticado o peligroso que los troyanos de banca móvil del pasado, los investigadores de seguridad que lo descubrieron creen que es una cepa nueva y no un simple clon o copia de otros troyanos de banca móvil que ya existen. Esto sirve como evidencia de que los delincuentes aún ven valor en invertir tiempo, esfuerzo y dinero en la creación de innovaciones de malware de banca móvil. Y, mientras los atacantes vean valor en él, es una señal de que los desarrolladores, Apple, Google y los operadores de telefonía celular están dejando brechas de seguridad en sus aplicaciones que las personas malintencionadas explotarán fácilmente para obtener ganancias.

Cómo funciona el malware de Android Eventbot y cómo mitigar el riesgo

EventBot utiliza la misma bolsa de trucos que la mayoría de los programas maliciosos móviles que se dirigen a aplicaciones bancarias, incluidas características como leer mensajes SMS, lanzar ataques de superposición y realizar otras actividades maliciosas como el registro de teclas. Las superposiciones son bastante comunes en estos días; una estudiar el verano pasado descubrió que el 51 por ciento de las aplicaciones maliciosas de Android usan ataques de superposición. Con una pantalla superpuesta, el malware presenta otra ventana encima de la aplicación legítima para engañar a los usuarios para que divulguen sus credenciales u otra información. El malware gana su poder engañando al usuario para que le otorgue varios permisos potentes, abusando de la función de accesibilidad de Android.

Una vez que se otorgan estos permisos, el malware de Android puede registrar pulsaciones de teclas para robar credenciales y enviarlas al atacante, así como leer las notificaciones y el contenido que muestra una aplicación específica. Los desarrolladores pueden mitigar los riesgos de EventBot con algunas prácticas recomendadas de ciberseguridad simples:

  1. Suponga que su aplicación en algunos casos operará en entornos móviles hostiles, como un dispositivo Android infectado con malware. Tome precauciones para codificar su aplicación de forma segura. Por ejemplo, no almacene datos en el almacenamiento externo compartido al que puedan acceder todas las aplicaciones, maliciosas o no.
     
  2. No utilice códigos enviados a través de mensajes de texto SMS para autenticar a los usuarios. Nada es perfecto, pero las notificaciones push son una mejor opción.
     
  3. Agregue una capa adicional de protección a las aplicaciones de banca móvil con protección de aplicaciones, también conocida como autoprotección de aplicaciones en tiempo de ejecución, para evitar que el malware altere el entorno de tiempo de ejecución de su aplicación móvil.

Reflexiones finales sobre el malware EventBot

Si bien EventBot parece ser una nueva variedad de malware, no es necesariamente más sofisticado que otro malware que hemos visto en el pasado. Un experto en seguridad que analizó EventBot declaró que no lo calificarían entre los tres malware más peligrosos que abusan de los servicios de accesibilidad y lo llama simplemente un "keylogger con permisos adicionales". Tomar las precauciones adecuadas contra la colección más amplia de amenazas de ciberseguridad móvil que existen probablemente protegerá a sus usuarios contra tales ataques. En particular, después de las pruebas, sabemos que la opción de protección de aplicaciones dentro de Mobile Security Suite de OneSpan puede detectar e interceptar las actividades de lectura de pantalla de EventBot. Si el dispositivo de un usuario estaba infectado con el malware EventBot, pero la aplicación móvil utilizada tenía aplicado el blindaje de la aplicación OneSpan, el malware no podría leer el contenido de la pantalla incluso si el usuario otorgara permisos de accesibilidad a la aplicación.

Mobile App Shielding
Papel blanco

Protección de aplicaciones móviles: cómo reducir el fraude, ahorrar dinero y proteger los ingresos

Si disfrutó este podcast, descargue este documento técnico. Descubra cómo la protección de aplicaciones con protección en tiempo de ejecución es clave para desarrollar una aplicación de banca móvil segura y resistente.

Descargar ahora

Sam es Gerente Senior de Marketing de Producto responsable de la cartera de seguridad de aplicaciones móviles OneSpan y tiene casi 10 años de experiencia en seguridad de la información.