Eventbot, el malware para Android que roba datos bancarios

Los investigadores de seguridad han alarmado sobre un malware para Android, el cual fue recientemente descubierto y que apunta a aplicaciones bancarias y billeteras de criptomonedas.

El malware, que los investigadores de la firma de seguridad Cybereason descubrieron recientemente y denominaron EventBot, se hace pasar por una aplicación legítima de Android, como Adobe Flash o Microsoft Word para Android. La diferencia es que abusa de las funciones de accesibilidad incorporadas de Android para obtener un acceso al sistema operativo del dispositivo.

Una vez instalada, ya sea por un usuario desprevenido o por una persona maliciosa con acceso al teléfono de la víctima, la aplicación falsa infectada por EventBot extrae silenciosamente las contraseñas de más de 200 aplicaciones bancarias y de criptomonedas, incluidas PayPal, Coinbase, CapitalOne y HSBC, e intercepta y códigos de mensajes de texto de autenticación de dos factores.

Con la contraseña de una víctima y el código de dos factores, los piratas informáticos pueden ingresar en cuentas bancarias, aplicaciones y billeteras, para así finalmente robar los fondos de una víctima.

«El desarrollador detrás de Eventbot ha invertido mucho tiempo y recursos en la creación del código, y el nivel de sofisticación y capacidades es realmente alto», anunció en los medios Assaf Dahan, jefe de investigación de amenazas en Cybereason.

El malware registra silenciosamente cada pulsación de tecla, y puede leer notificaciones de otras aplicaciones instaladas, dando a los piratas informáticos una ventana de lo que está sucediendo en el dispositivo de la víctima.

Con el tiempo, el malware desvía las contraseñas de las aplicaciones bancarias y de criptomonedas al servidor de los piratas informáticos.

Los investigadores dijeron que EventBot sigue siendo un trabajo en progreso. Durante un período de varias semanas desde su descubrimiento en marzo, los investigadores vieron que el malware se actualizaba iterativamente cada pocos días para incluir nuevas características maliciosas. En un momento, los creadores del malware mejoraron el esquema de encriptación que usa para comunicarse con el servidor de los hackers, e incluyeron una nueva característica que puede obtener el código de bloqueo del dispositivo de un usuario, lo que probablemente le permita al malware otorgar mayores privilegios al dispositivo de la víctima como pagos y configuraciones del sistema.

Pero aunque los investigadores no saben quién está detrás de la campaña, su investigación sugiere que el malware es completamente nuevo.

«Hasta ahora, no hemos observado casos claros de copia-pegado o reutilización de código de otro malware y parece haber sido escrito desde cero», dijo Dahan.

El malware de Android no es nuevo, pero está en aumento. Los distribuidores de malware se han dirigido cada vez más a los usuarios de dispositivos móviles porque muchos propietarios de dispositivos tienen sus aplicaciones bancarias, redes sociales y otros servicios sensibles en su dispositivo. Google ha mejorado la seguridad de Android en los últimos años mediante la detección de aplicaciones en su tienda de aplicaciones y el bloqueo proactivo de aplicaciones de terceros para reducir el malware, con resultados mixtos. Muchas aplicaciones maliciosas han evadido la detección de Google.

La recomendación es siempre descargar apps verificadas de proveedores conocidos, evitar ingresar datos en juegos o aplicaciones de dudosa reputación.