Malware i ri në Android që vjedhë kredencialet bankare

Kohëve të fundit hulumtuesit e sigurisë nga Cybereason – pas disa javë hulumtimesh – kanë ngritur alarmin në lidhje me një maluer të ri i cili atakon telefonat celular android, e i cili afekton aplikacionet bankare dhe kuletat e kripto-valutave.

Malueri, të cilin hulumtuesit e kompanisë Cybereason e zbuluan muajin e kaluar dhe e quajtën EventBot, paraqitet si një aplikacion legjitim për android – si p.sh. MS Word për Android apo Adobe Flash për android – që pastaj të abuzoj me veçoritë e nënkuptuara të Androidit ashtu që të fitoj sa më shumë privilegje në sistemin operativ të mobilit.

EventBot është një trojan i cili vjedhë kredencialet bankare të shfrytëzuesve përmes aplikacioneve legjitime mobile bankare.

Me tu instaluar, EventBot kërkon qasje në shërbimet për qasje (accessibility services), të cilin shërbim e shfrytëzon për të vjedhë të dhënat e shfrytëzuesit nga aplikacionet financiare. Pasi ky maluer fiton qasje në këtë shërbim, mund të veproi edhe si “keylogger”[i]. Po ashtu mund të lexoi mesazhet sms përmes të cilëve mund të anashkaloi verifikimin me 2 faktorë (V2F).

Pasi të instalohet aplikacioni i infektuar me EventBot – qoftë nga pakujdesia apo nga një person dashakeq i cili ka qasje në celularin tuaj – malueri vjedhë fshehurazi fjalëkalimet e mbi 200 aplikacioneve bankare dhe aplikacioneve të kripto-valutave, duke përfshirë PayPal, HSBC, Revolut, Barclays, Unicredit, Santander, CapitalOne, Coinbase, TransferWise, paysafecard, etj. si dhe ka aftësi të përgjoj mesazhet sms që përdorën për V2F. Ky trojan sulmon aplikacionet bankare financiare në android, posaçërisht në SHBA, Mbretërinë e Bashkuar, dhe vendet evropiane si Gjermania, Zvicrra, Franca, Spanja, dhe Italia[ii].

Nëse arrin të vjedhë fjalëkalimin dhe kodet e V2F, praktikisht sulmuesi mund t’i qaset llogarisë bankare të viktimës, si dhe të kuletave të kripto-valutave dhe të vjedhë të gjitha fondet brenda tyre.

“EventBot është veçanërisht interesant sepse është në fazat e tij më të hershme të zhvillimit” – shkruan Cybereason, duke shtuar që “ky maluer ka potencial të bëhet malueri më i rrezikshëm për mobil, pasi ai është në zhvillim e sipër, shfrytëzon një veçori kritike të sistemit operativ, si dhe ka si cak aplikacionet financiare.”

Deri tani, për vetëm disa javë, kanë dalë disa versione të tij – ku i fundit është versioni 0.4.0.1 – duke përfshirë në secilin version veçori të reja për sulm si përdorimi i librarive dinamike, enkriptimi, si dhe përshtatja e prodhuesve dhe vendeve të ndryshme, çka tregon për potencialin e vërtetë dëmtues të tij. Përveç kësaj, në versione më të reja përkrahë edhe gjuhë të tjera, si p.sh. në versionin 0.3.0.1 është përfshirë gjuha Italiane dhe ajo Spanjolle.

Malueri regjistron në heshtje çdo trokitje në mobil dhe çdo shtypje tasti, dhe mund të lexoj njoftimet çoftë edhe nga aplikacionet e tjera në mobil, duke u dhënë kështu hakerëve një pasqyrë të qartë në lidhje me atë se çfarë po ndodhë në pajisjen e viktimës. Në një version të tij (0.3.0.1), malueri madje mund të vjedhë edhe kodin bllokues të ekranit, ashtu që të mund të hapë pajisjen pa dijeninë e viktimës duke marrë privilegjet më të larta aty, si p.sh. për pagesa apo cilësimet e sistemit.

Hulumtuesit e Cybereason thonë që EventBot akoma nuk është parë në “Play Store” të Androidit, që është dyqani zyrtar i aplikacioneve android.

Hulumtuesit, me këtë rast, tërheqin vërejtjen që të shmanget instalimi i aplikacioneve nga burime të pasigurta, nga dyqane dhe faqe jo-zyrtare dhe të pasigurta, shumica prej të cilave nuk i skanojnë aplikacionet e tyre për maluer.

Edhe pse akoma nuk dihet se kush qëndron prapa zhvillimit të maluerit EventBot dhe se malueri nuk është paraqitur në ndonjë sulm masiv, është e rëndësishme të përcjellët zhvillimi i tij që nga fillimi, duke e ditur që ky maluer është zhvilluar nga e para, duke mos marrë kod të gatshëm nga ndonjë maluer i mëparshëm.