blog_20.05.2020

Vorsicht EventBot: der neue Trojaner nimmt Finanz-Apps ins Visier

Sicherheitsforscher warnen vor einem neuen Banking-Trojaner. Die Malware mit Namen EventBot hat es auf Finanz-Apps abgesehen und wurde im März 2020 erstmals identifiziert. Betroffen sind bisher vor allem Android-Nutzer.

Das Interesse von EventBot gilt den Nutzerdaten von über 200 verschiedenen, mobilen Finanz-Apps für Android-Geräte, darunter Banking-Apps, Zahlungsdienste und elektronische Börsen für Kryptowährungen. Ähnlich, wie andere Android-Malware auch, missbraucht EventBot die «Bedienungshilfen»-Einstellung des Betriebssystems, um sich Zugang zu Geräten zu verschaffen, schreiben die Forscher des Sicherheitsunternehmens Cybereason in einem Rapport. Aktiv ist die Malware erst seit März 2020.

«EventBot ist insbesondere deshalb interessant, weil der Trojaner sich noch in einem frühen Entwicklungsstadium befindet», heisst es weiter. «Diese brandneue Malware hat das Potenzial, das nächste grosse Ding in Sachen Mobile-Malware zu werden. Sie wird konstant weiterentwickelt, nutzt ein kritisches Betriebssystem-Feature für ihre Zwecke und nimmt Finanz-Apps ins Visier».

SMS werden gelesen

Hat sich EventBot erfolgreich auf einem Gerät installiert, sammelt die Malware unter anderem persönliche Angaben der Nutzer, Tastenanschläge, Passwörter sowie Informationen über Finanz-Transaktionen. Auf Basis dieser Daten erhalten die Angreifer Zugang zu Privat- und Geschäftskonten von Nutzern sowie weitere Angaben, wie die Spezialisten von Cybereason schreiben. Der Trojaner stiehlt jedoch nicht nur die Nutzerdaten der Finanz-Apps: Er kann auch SMS-Nachrichten mitlesen, was es ihm ermöglicht, eine 2-Faktor-Authentifizierung zu umgehen.

Laut den Forschern sind bisher vier Versionen des Banking-Trojaners bekannt, der von seinen Urhebern laufend weiterentwickelt wird. Die neuste Version ist in der Lage ist, die PIN-Eingabe für den Startbildschirm abzufangen. Ist EventBot einmal im Besitz der erforderlichen Berechtigungen, erstellt die Malware eine Liste der auf einem Gerät installierten Apps, zudem werden Geräteinformationen abgefragt. Die Angaben schickt der Trojaner an einen Server, der ihm seinerseits Informationen über die anzugreifenden Apps übermittelt.

Auch Schweizer Nutzer gefährdet

Gefährdet sind laut den Forschern Nutzer in den USA sowie in verschiedenen europäischen Ländern, darunter auch der Schweiz. Zu den Apps, die EventBot ins Visier nimmt, zählen, nebst vielen anderen, PayPal Business, Revolut, Barclays, UniCredit, Capital One UK, HSBC UK, Santander UK, TransferWise, Coinbase und Paysafecard. Cybereason hat eine Liste aller betroffenen Applikationen veröffentlicht.

Im Rahmen ihrer Untersuchungen sind die Forscher auf Icons bekannter Apps, wie Word gestossen, welche die Malware zur Tarnung nutzt. Es ist deshalb damit zu rechnen, dass die EventBot App künftig früher oder später getarnt als reguläre App in Fake-Playstores auftaucht.