Der mit vielen Fähigkeiten ausgerüstete Banking-Trojaner EventBot ist erstmals im März dieses Jahres in Erscheinung getreten. Diese Malware liest Daten von Finanz-Apps aus und hebelt dann die 2-Faktor-Authentifizierung aus. Die kriminellen Hintermänner können so Finanztransaktionen kapern.
Diesen neuartigen Banking-Trojaner namens EventBot haben Forscher von Cybereason entdeckt. Der Schädling richtet sich vornehmlich gegen Android-Nutzer und ist seit März 2020 im Umlauf. Wie auch viele andere Android-Schädlinge benutzt auch EventBot die Android-Bedienungshilfen, um unerkannt im Hintergrund arbeiten zu können.
EventBot kann über 200 Apps knacken
Dabei ist EventBot fähig, mehr als 200 verschiedene Finanz-Apps zu hacken, sowohl Banking-Apps, Zahlungsdienste und auch elektronische Geldbörsen (Wallets) für diverse Kryptowährungen.
Das betrifft unter anderem Apps von PayPal Business, Revolut, Barclays, UniCredit, Capital One UK, HSBC UK, Santander UK, TransferWise, Coinbase und Paysafecard. Die Cybergangster haben bevorzugt auf Nutzer in den USA und in Europa im Visier, und auch Anwender in Deutschland sind davon betroffen.
Das nächste große Ding in Sachen Malware
„EventBot ist besonders deshalb interessant, weil sich die Malware noch in einem so frühen Stadium befindet. Diese brandneue Schadsoftware hat durchaus das Potenzial das nächste große Ding in Sachen mobiler Malware zu werden“, informiert Cybereason. „Dafür spricht, dass sie fortlaufend verbessert wird, dass sie sich eine wichtige Funktion des Betriebssystems zunutze macht, und dass sie sich speziell gegen Finanz-Apps richtet.“
Der Schädling EventBot ist nach ersten Analysen in der Lage, Benutzerdaten aus den Finanz-Apps zu stehlen. Zum seinen Fähigkeiten gehört aber auch das Mitlesen von SMS-Nachrichten, wodurch die Malware in der Lage ist, auch eine 2-Faktor-Authentifizierung mit SMS-TAN auszuhebeln.
Die Zukunft von EventBot
Die Forscher gehen davon aus, dass die Kriminellen in Zukunft auch versuchen werden, EventBot in legitimen Apps zu integrieren und die dann in Googles Play Store einzuschleusen. Das lassen Icons legitimer Apps vermuten, die die Forscher ebenfalls fanden. Eine solche Tarnung soll dann auch dazu beitragen, dass Benutzer der Malware die notwendige Berechtigung für die Bedienungshilfen geben.
Hat der Trojaner diese Berechtigungen erst einmal, dann erstellt EventBot eine Liste mit allen installierten Apps und fragt diverse Geräteinformationen (OS-Version, Smartphone-Modell usw.) ab. Die gestohlenen Daten werden an einen Server im Internet weitergeleitet, der dann alle Informationen über angreifbare Finanz-Apps zurückgibt.
Es gibt schon drei Versionen des Banking-Trojaners
Bisher sind den Forschern drei verschiedene Versionen von EventBot mit jeweils neuen Funktionen bekannt. Verbessert wurde dabei unter anderem auch die Verschlüsselung der Kommunikation mit dem Befehlsserver (Commandserver). Die Dialoge, mit der Schädling Berechtigungen einfordert,liegen inzwischen schon in verschiedenen Sprachen vor. Die neueste Version ist sogar fähig, die Eingabe der PINs für den Startbildschirm abzugreifen.
„EventBot ist ein mobiler Banking-Trojaner, der Finanzinformationen stiehlt und Transaktionen kapern kann. Sobald sich diese Malware erfolgreich installiert hat, sammelt sie persönliche Daten, Passwörter, Tastatureingaben, Bankdaten und vieles mehr. Diese Informationen können dem Angreifer Zugriff auf persönliche und geschäftliche Bankkonten, persönliche und geschäftliche Daten und vieles mehr verschaffen“, teilte Cybereason zusammenfassend mit.
