I ricercatori della software house Cybereason hanno
analizzato un nuovo malware per gli smartphone Android. È stato battezzato
EventBot e sembra essere ancora nella sue prime fasi di sviluppo. Sta però evolvendo rapidamente. Ed è già abbastanza diverso dagli altri malware Android da
rappresentare una minaccia a sé stante. L'elemento più pericoloso di Eventbot è che sfrutta la "
apertura" di Android per accedere a componenti importanti di uno smartphone. Come i messaggi SMS. E può aggirare i sistemi di autenticazione a due fattori.
EventBot è un malware Android progettato per
attaccare app di banking e finanziarie. Ha una precisa focalizzazione sugli utenti europei, anche quelli italiani. Si basa sul presupposto, corretto, che oggi la maggior parte delle operazioni di banking sono eseguite via smartphone. Tra le app mobili bersaglio di Eventbot ci sono quelle di
molte banche attive in Italia. Per la precisione 26, al momento. Nell'elenco prodotto da Cybereason troviamo ad esempio Gruppo BPER, ING Direct, BNL, Gruppo Cariparma, Credem, Mediolanum, Unicredit. Nel mirino ci sono anche diverse app che gestiscono
criptovalute.
Eventbot non è ancora stato pubblicato sul
Google Play Store, spiega Cybereason. Ma è un malware Android già in circolazione. Che probabilmente approderà sullo Store di Google
"cammuffandosi" come app lecita. "Dentro" il malware i ricercatori hanno infatti trovato diverse icone che Eventbot userà e che rimandano ad app ufficiali di Microsoft, Adobe e Kaspersky. Basta una
installazione frettolosa, ad esempio di un presunto aggiornamento per Adobe Flash, e il malware approda sul nostro smartphone.
Come molti altri malware Android, Eventbot punta sul fatto che gli utenti non controllano mai le autorizzazioni che danno alle app che installano. Così il malware chiede tutta una serie di autorizzazioni legate ai servizi di Accessibilità. Che, di fatto, gli permettono di
agire come keylogger, gestire gli SMS, attivarsi all'avvio di Android, comunicare liberamente in rete, leggere il contenuto delle finestre visualizzate a schermo.
Grazie a tutte queste possibilità, il malware Android
agisce come "esfiltratore" di informazioni. Comunica con alcuni server di comando e controllo, inviando loro i dati più importanti che raccoglie sullo smartphone. Monitora la presenza di app bancarie e finanziarie. E ne "estrae" informazioni rilevanti che possono portare alla
compromissione di conti bancari o di wallet di criptovalute.