Warnung: EventBot-Malware bedroht Krypto-Apps
Das mobile Betriebssystem Android kämpft derzeit gegen die Ausbreitung einer neuen Malware namens EventBot. Das auf Cyber Security spezialisierte Unternehmen Cybereason hat den EventBot untersucht und eindringlich vor dessen Aktivitäten gewarnt. Die Malware ist darauf ausgerichtet, Banking- und Trading Apps anzugreifen und sensible Daten und sogar Zwei-Faktor-Nachrichten zu stehlen. Neben Apps aus dem klassischen Finanzsektor sind auch viele Krypto-Apps und Wallets, wie Coinbase, Blockfolio, BitPay und CEX.IO, bedroht.
EventBot: Cybereason warnt vor neuartiger Malware
Die gute Nachricht gleich vorweg: noch sind durch den EventBot keine Fälle von Datendiebstahl bekannt. Dennoch birgt die Malware die Gefahr, im großen Stil sensible Daten abzugreifen. Das Sicherheitsunternehmen Cybereason hat den EventBot erstmals im März dieses Jahres entdeckt und schnell das Potenzial hinter dem Schadprogramm erkannt. Seitdem befindet sich die Malware unter strenger Beobachtung durch die Experten. Währens sich in vielen Fällen Kollektive oder Einzelpersonen mit der Erstellung eines Schadprogramms rühmen, sind die Entwickler hinter dem EventBot bislang unbekannt. Fest steht bislang nur, dass die Entwickler sehr aktiv sind und regelmäßig neue Versionen des Programms veröffentlichen.
Die Anwendung tarnt sich als legitime App und kann als Drittanwendung installiert werden. Sobald er von einem ahnungslosen Nutzer installiert wird, verschafft sich die Malware die Berechtigung für den Zugriff auf Nutzer- und Systeminformationen, Zugangsdaten, Kontakte und Nachrichten. Vor allem der Zugriff auf die Nachrichten eines Nutzers können ein großes Problem darstellen. Sofern der Telefonbesitzer eine Zwei-Faktor-Authentifizierung nutzt, kann der EventBot die geheimen Codes mitlesen und stehlen. Der Fokus der Malware liegt jedoch nicht darauf, mit den geklauten Daten die Social Media Channels des Nutzers zu kapern, er nimmt stattdessen die Banking- und Trading-Apps ins Visier.
Neue Malware bedroht Finanzanwendungen – auch die Kryptowelt ist betroffen
Nach Erkenntnissen der Sicherheitsexperten von Cybereason ist bislang noch kein Schaden durch die neue Malware entstanden. Das liegt insbesondere an dem frühen Entwicklungsstadium des Schadprogramms. Dennoch ergaben die Analysen der Experten, dass bereits jetzt fast 300 Finanzanwendungen bedroht sind. Zur besseren Übersicht veröffentlichte Cybereason eine Liste mit 296 Unternehmen, auf die der EventBot ein Auge geworfen hat. Neben großen Firmen, wie Barclays, UniCredit oder PayPal Business, sind auch einige Firmen und Wallets aus der Kryptowelt auf dieser Liste vertreten. In dem Zusammenhang ist die Malware nicht auf bestimmte Typen spezialisiert, sondern greift sowohl Kryptobörsen, wie auch Wallets und Coin-Tracking Apps an.
Interessanterweise zielt der EventBot direkt auf die „Big Player“ und legt den Fokus auf die Anwendungen von Coinbase, WazirX, Bitpanda, Poloniex und Co. Aber auch Wallets, wie das MyEtherWallet, Electroneum, Atomic Wallet oder Bitcoin.com Wallets, sind potenziell gefährdet. Zudem sind auch Build-In Wallets auf speziellen Kryptotelefonen betroffen. Das gefährliche hinter dem EventBot ist die Tatsache, dass der Code der Malware nicht auf der Logik bestehender Anwendungen aufsetzt, sondern komplett neu geschrieben wurde. Cybereason geht davon aus, dass hinter dem Schadprogramm erfahrene Entwickler stecken, wodurch die Gefahr jederzeit exponentiell ansteigen kann. In kurzen Abständen erscheinen Neuerungen, die bestimmte Funktionalitäten der Malware ausbauen und verbessern.
#EventBot is the latest Android #malware to watch, targeting users of financial apps. It can steal passwords, read texts, and drain bank accounts. Learn about the malware @cybereason @Nocturnus is investigating and reasons users need to be aware @PCMag https://t.co/q7j3mtBuOG
— Cybereason (@cybereason) May 1, 2020
So kann man sich vor dem EventBot schützen
Die Entwickler tarnen ihre Malware als seriöse App und versuchen den Handybesitzer vom Download zu überzeugen. Insbesondere Nutzer aus den USA und Europa seien das Ziel der Malware. Sobald der EventBot installiert wurde, liest er die Berechtigungen des Nutzers und sammelt wichtige Informationen auf dem Gerät. Anschließend greift er die Zugangsdaten von Apps und Webseiten ab und übermittelt sie an die Entwickler hinter der Malware. Bislang wurde der EventBot noch nicht in den offiziellen App-Store eingeschleust, sodass er nur aus Drittquellen installiert werden kann. Diese Tatsache dämmt die Ausbreitung des Programms bereits grundsätzlich erheblich ein.
Die Sicherheitsexperten raten dringend davon ab, Anwendungen aus unbekannten Quellen zu installieren. Insbesondere die Apps großer Anbieter werden stets im offiziellen App-Store angeboten und müssen nicht aus Drittquellen installiert werden. Des Weiteren sollten die Nutzer immer darauf achten, ihre Geräte zu updaten und gängige Sicherheitseinstellungen zu aktivieren. Wer das Gefühl hat, Opfer des EventBots oder anderer Malware zu sein, sollte dringend seine Zugänge zu seinen Banking- und Trading-Apps sperren lassen.
Fazit: EventBot könnte das „nächste große Ding“ werden
Unzählige Schadprogramme tummeln sich im Internet und warten nur darauf, von einem ahnungslosen Nutzer installiert zu werden. Doch selten ist die Gefahr so groß wie im Falle des EventBot getauften Banking-Trojaners. Dieser könnte nach Ansicht vieler Experten das „nächste große Ding“ werden – leider im negativen Sinne. Die Malware hat es insbesondere auf Finanzanwendungen abgesehen und kann neben Zugangsdaten auch die Codes einer Zwei-Faktor-Authentifizierung abfangen und an die Betrüger im Hintergrund übermitteln.
Der EventBot hat es nicht nur auf Apps aus der klassischen Finanzwelt abgesehen, sondern legt den Fokus auch auf Anwendungen aus der Kryptowelt. Die Apps großer Firmen, wie Coinbase oder Bitpanda, sind daher potenziell gefährdet. Auch Wallets, auf denen Bitcoin, Ethereum und Co gespeichert werden können, sind ein auserkorenes Ziel der Malware. Um nicht Opfer des Schadprogramms zu werden, sollten Nutzer auf keinen Fall Apps aus unbekannten Drittquellen installieren. Nur so kann man nach derzeitigen Stand eine Ausbreitung der Malware verhindern.