Cybereason warnt vor neuem mobilen Banking-Trojaner

Forscher von Cybereason haben einen neuartigen Banking-Trojaner namens EventBot entdeckt, der sich vornehmlich gegen Android-Nutzer richtet. Die Malware ist offenbar seit März 2020 im Umlauf. Wie viele andere Android-Schädlinge nutzt auch EventBot die Android-Bedienungshilfen, um im Hintergrund agieren zu können.

EventBot ist in der Lage, gegen mehr als 200 verschiedene Finanz-Apps vorzugehen, darunter Banking-Apps, Zahlungsdienste und elektronische Geldbörsen für Kryptowährungen. Davon betroffen sind unter anderem PayPal Business, Revolut, Barclays, UniCredit, Capital One UK, HSBC UK, Santander UK, TransferWise, Coinbase und Paysafecard. Die Hintermänner haben es bevorzugt auf Nutzer in den USA und Europa abgesehen – auch Anwender in Deutschland sind betroffen.

„EventBot ist besonders deshalb interessant, weil sich die Malware noch in einem so frühen Stadium befindet. Diese brandneue Schadsoftware hat durchaus das Potenzial das nächste große Ding in Sachen mobiler Malware zu werden“, teilte Cybereason mit. „Dafür spricht, dass sie fortlaufend verbessert wird, dass sie sich eine wichtige Funktion des Betriebssystems zunutze macht, und dass sie sich speziell gegen Finanz-Apps richtet.“

EventBot ist einer ersten Analyse zufolge in der Lage, Benutzerdaten aus Finanz-Apps zu stehlen. Zum Funktionsumfang gehört aber auch das Mitlesen von SMS-Nachrichten, was es der Malware erlaubt, eine 2-Faktor-Authentifizierung zu umgehen.

Außerdem gehen die Forscher davon aus, dass die Hintermänner künftig versuchen werden, EventBot in legitimen Apps zu verstecken und in den Play Store einzuschleusen. Darauf deuten Icons legitimer Apps hin, die die Forscher ebenfalls fanden. Diese Tarnung soll außerdem dazu beitragen, dass Nutzer der Malware die benötigte Berechtigung für die Bedienungshilfen erteilen.

Nach Erhalt der Berechtigungen erstellt EventBot eine Liste mit allen installierten Apps und fragt Geräteinformationen wie OS-Version und Smartphone-Modell ab. Diese und weitere Daten werden an einen Server im Internet übermittelt, der wiederum Informationen über die anzugreifenden Finanz-Apps liefert.

Inzwischen sind den Forschern drei verschiedene Versionen von EventBot bekannt – mit jeweils neuen Funktionen. Verbessert wurde unter anderem die Verschlüsselung der Kommunikation mit dem Befehlsserver. Auch liegen die Dialoge, mit denen Berechtigungen eingefordert werden, nun in verschiedenen Sprachen vor. Die jüngste Version ist außerdem in der Lage, die Eingabe des PINs für den Startbildschirm abzufangen.

„EventBot ist ein mobiler Banking-Trojaner, der Finanzinformationen stiehlt und Transaktionen kapern kann. Sobald sich diese Malware erfolgreich installiert hat, sammelt sie persönliche Daten, Passwörter, Tastatureingaben, Bankdaten und vieles mehr. Diese Informationen können dem Angreifer Zugriff auf persönliche und geschäftliche Bankkonten, persönliche und geschäftliche Daten und vieles mehr verschaffen“, teilte Cybereason mit.