OneSpan Blog

A verdade sobre o Trojan Android EventBot que supostamente ignora o 2FA

Segurança de Aplicativo Móvel
Samuel Bakken, 15 de Maio de 2020
The Truth About the EventBot Android Trojan That Allegedly Bypasses 2FA

No final de abril, os relatórios de uma nova variedade de malware de banco móvel para Android que supostamente pode ignorar a autenticação de dois fatores chamaram minha atenção. O novo malware tem como alvo quase 200 aplicativos de serviços financeiros móveis em várias geografias, incluindo Estados Unidos, Itália, Reino Unido, Espanha, Suíça, França e Alemanha. Mas o que há de novo nessa tensão? Quão séria é a ameaça? O que os desenvolvedores precisam fazer para proteger a si e a seus usuários dessa e de outras ameaças semelhantes? A seguir, foi descoberto em consulta com alguns de nossos especialistas em segurança de aplicativos móveis e na análise de pesquisas de segurança e vários relatórios de mídia.

Análise de malware do EventBot Android

Primeiro, acontece que não há necessidade de entrar em pânico. No momento, o EventBot não faz parte de nenhuma campanha ativa. No entanto, isso pode mudar a qualquer dia, e é um lembrete para todos nós para não ficarmos complacentes ou preguiçosos. Os pesquisadores que descobriram o EventBot disseram que está em seus "estágios iniciais" e está em desenvolvimento ativo. Embora o EventBot não seja necessariamente mais sofisticado ou perigoso que os trojans de bancos móveis do passado, os pesquisadores de segurança que o descobriram acreditam que é uma nova linhagem e não um simples clone ou cópia de outros trojans de bancos móveis que já existem por aí. Isso serve como evidência de que os criminosos ainda veem valor em investir tempo, esforço e dinheiro na criação de inovações de malware para bancos móveis. E, desde que os invasores vejam valor, é um sinal de que desenvolvedores, Apple, Google e operadoras de celular estão deixando lacunas de segurança em seus aplicativos que indivíduos mal-intencionados exploram prontamente para obter lucro.

Como o Eventbot Android Malware funciona e como atenuar os riscos

O EventBot usa o mesmo pacote de truques da maioria dos malwares móveis direcionados a aplicativos bancários, incluindo recursos como ler mensagens SMS, iniciar ataques de sobreposição e realizar outras atividades maliciosas, como registro de chaves. Sobreposições são bastante comuns atualmente; uma estude No último verão, 51% dos aplicativos maliciosos para Android usam ataques de sobreposição. Com uma tela de sobreposição, o malware apresenta outra janela em cima do aplicativo legítimo para induzir os usuários a divulgar suas credenciais ou outras informações. O malware ganha seu poder, fazendo com que o usuário conceda várias permissões poderosas - abusando do recurso de acessibilidade do Android.

Uma vez concedidas essas permissões, o malware do Android pode registrar pressionamentos de teclas para roubar credenciais e enviá-las ao invasor, além de ler notificações e conteúdo exibidos por um aplicativo direcionado. Os desenvolvedores podem reduzir os riscos do EventBot com algumas práticas recomendadas simples de segurança cibernética:

  1. Suponha que seu aplicativo, em alguns casos, funcione em ambientes móveis hostis, como um dispositivo Android infectado por malware. Tome precauções para codificar seu aplicativo com segurança. Por exemplo, não armazene dados no armazenamento externo compartilhado que todos os aplicativos, maliciosos ou não, possam acessar.
     
  2. Não use códigos enviados via mensagens de texto SMS para autenticar usuários. Nada é perfeito, mas as notificações por push são uma escolha melhor.
     
  3. Adicione uma camada adicional de proteção aos aplicativos de banco móvel com proteção de aplicativo, também conhecida como autoproteção de aplicativo de tempo de execução, para impedir que malware prejudique o ambiente de tempo de execução do aplicativo móvel.

Considerações finais sobre o malware EventBot

Embora o EventBot pareça ser uma nova variedade de malware, não é necessariamente mais sofisticado do que outros malwares que vimos no passado. Um especialista em segurança que analisou o EventBot afirmou que não o classificaria entre os três principais malwares mais perigosos que abusam dos serviços de acessibilidade e o chama apenas de "keylogger com permissões extras". Tomar as devidas precauções contra a coleção mais ampla de ameaças à segurança cibernética móvel por aí provavelmente protegerá seus usuários contra esses ataques. Em particular, após o teste, sabemos que a opção de proteção de aplicativo no Mobile Security Suite da OneSpan pode detectar e interditar as atividades de leitura de tela do EventBot. Se o dispositivo de um usuário estiver infectado com o malware EventBot, mas o aplicativo móvel usado tiver a proteção do aplicativo OneSpan aplicada, o malware não poderá ler o conteúdo da tela, mesmo que o usuário conceda permissões de acessibilidade ao aplicativo.

Mobile App Shielding
White Paper

Mobile App Shielding: How to Reduce Fraud, Save Money, and Protect Revenue

Discover how app shielding with runtime-protection is key to developing a secure, resilient mobile banking app.

Download Now
blindagem de aplicativo móvel autenticação de dois fatores malware
Sam Bakken
Samuel Bakken

Sam é gerente sênior de marketing de produto responsável pelo portfólio de segurança de aplicativos móveis OneSpan e tem quase 10 anos de experiência em segurança da informação.

Ir para o topo