Eventbot, una nueva familia de malware bancario para Android


Las primeras detecciones se produjeron a primeros del mes de marzo. Estas muestras han afectado a entidades bancarias de Reino Unido Italia y España, aunque es probable que se añadan nuevas entidades europeas a esta lista en el futuro.

Como es habitual en prácticamente todos los ‘bankers’ para Android, Eventbot también utiliza inyecciones web para robar las credenciales bancarias de sus víctimas. Éstas, se muestran al usuario a través de los conocidos ‘overlays’, que se muestran tras la detección de la apertura de la aplicación legítima del banco.

evenbot

A diferencia de los troyanos bancarios existentes para Android, Eventbot incluye funcionalidades novedosas para robar las credenciales bancarias, y es que, además del uso de inyecciones web, este ‘banker’ también roba datos a través del servicio de accesibilidad que instala, y que le permite recopilar información sobre los eventos que se producen en la interfaz de usuario. Esto incluye cambios en campos de texto, toques en botones, etc.

Gracias a esta nueva funcionalidad, este troyano no necesita utilizar inyecciones web para robar los datos, y le basta con mantenerse a la escucha de eventos relacionados con los campos de texto de usuario y contraseña de las aplicaciones afectadas.

Si quiere conocer en  detalle el funcionamiento de este troyano descargue el informe completo.

evenbot-cover-es

ANDROID BANKER EVENBOT

Desde marzo se han ido detectado muestras de un nuevo troyano en la escena del malware bancario para Android. El nombre que ha recibido esta nueva familia ha sido ‘Eventbot’. El nombre se debe principalmente al uso de esta palabra en el identificador de paquete de las aplicaciones maliciosas, aunque esta palabra probablemente provenga de su novedosa funcionalidad que roba credenciales a partir de eventos de accesibilidad.

La mayor parte de troyanos bancarios utilizan los eventos de accesibilidad para detectar cuando una aplicación es iniciada, de forma que en ese momento pueden mostrar una inyección web con el formulario de phishing que roba las credenciales de la víctima.

 

¿Te ha gustado? Comparte en tus comunidades sociales.

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo