Eventbot, inyecciones web para robar credenciales bancarias en Android


Las primeras detecciones se produjeron a primeros del mes de marzo. Estas muestras han afectado a entidades bancarias de Reino Unido Italia y España, aunque es probable que se añadan nuevas entidades europeas a esta lista en el futuro.

Como es habitual en prácticamente todos los ‘bankers’ para Android, Eventbot también utiliza inyecciones web para robar las credenciales bancarias de sus víctimas. Éstas, se muestran al usuario a través de los conocidos ‘overlays’, que se muestran tras la detección de la apertura de la aplicación legítima del banco.

evenbot

A diferencia de los troyanos bancarios existentes para Android, Eventbot incluye funcionalidades novedosas para robar las credenciales bancarias, y es que, además del uso de inyecciones web, este ‘banker’ también roba datos a través del servicio de accesibilidad que instala, y que le permite recopilar información sobre los eventos que se producen en la interfaz de usuario. Esto incluye cambios en campos de texto, toques en botones, etc.

Gracias a esta nueva funcionalidad, este troyano no necesita utilizar inyecciones web para robar los datos, y le basta con mantenerse a la escucha de eventos relacionados con los campos de texto de usuario y contraseña de las aplicaciones afectadas.

Si quiere conocer en  detalle el funcionamiento de este troyano descargue el informe completo.

evenbot-cover-es

ANDROID BANKER EVENBOT

Desde marzo se han ido detectado muestras de un nuevo troyano en la escena del malware bancario para Android. El nombre que ha recibido esta nueva familia ha sido ‘Eventbot’. El nombre se debe principalmente al uso de esta palabra en el identificador de paquete de las aplicaciones maliciosas, aunque esta palabra probablemente provenga de su novedosa funcionalidad que roba credenciales a partir de eventos de accesibilidad.

La mayor parte de troyanos bancarios utilizan los eventos de accesibilidad para detectar cuando una aplicación es iniciada, de forma que en ese momento pueden mostrar una inyección web con el formulario de phishing que roba las credenciales de la víctima.

 

Publicado por David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of Revelock’s development team, managing task distribution and negotiating with the Head of Technology.

Como solucionamos la presencia de Malware

Protección y Alerta contra la presencia de Malware

bugFraud es la solución directa para detectar y frenar el malware conocido y zero-day. El exhaustivo sistema de buguroo para clasificar el malware elimina los falsos positivos y evita los falsos negativos

¿CÓMO LO RESUELVE BUGUROO?

Solicita una demo

¿Quieres ver cómo te protege nuestra solución?

Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

¿Te ha gustado? Comparte en tus comunidades sociales.