I ricercatori di sicurezza di Cybereason hanno scoperto l’ennesimo malware che si annida su Android e che prende di mira le applicazioni bancarie e per le criptovalute superando l’autenticazione a due fattori.
Il virus scoperto è stato soprannominato EventBot e attacca gli utenti di Android spacciandosi per un’app legittima, come Adobe Flash o Microsoft Word; successivamente il malware abusa delle funzionalità di accessibilità integrate per ottenere un accesso profondo del sistema operativo del dispositivo.
Una volta che l’ignaro utente ha installato l’app, quest’ultima è in grado di sottrarre silenziosamente le password da oltre 200 applicazioni bancarie e app per gestire le criptovalute, tra cui PayPal, Coinbase, CapitalOne e HSBC, ma può anche intercettare i codici di messaggi di autenticazione a due fattori.
Avendo a disposizione le password e i codici a due fattori della vittima, gli hacker possono accedere senza limiti ai conti bancari e ai portafogli di criptovaluta.
Lo sviluppatore di Eventbot ha investito molto tempo e risorse nella creazione del codice e il livello di sofisticazione e capacità è davvero elevato – ha dichiarato a TechCrunch Assaf Dahan, responsabile della ricerca di Cybereason.
La pericolosità di questo malware è data soprattutto dalla sua silenziosità: EventBot è infatti in grado di registrare, senza che la vittima se ne accorga, ogni tocco e tasto premuto e può leggere persino le notifiche di altre app installate. Ciò permette agli hacker di avere accesso ad una finestra su tutto ciò che sta accadendo sul dispositivo attaccato. Con il passare del tempo, il malware reimposta le password delle app bancarie e di criptovaluta sul server degli hacker. Secondo Cybereason, tuttavia, non sembra ci siano tracce del malware sul Play Store, motivo per il quale l’esposizione a questo virus potrebbe essere limitata.
