Coinbase, Binance и Bitcoin.com угрожает новая вредоносная программа EventBot

Компания Cybereason, занимающаяся исследованиями в области безопасности, обнаружила новый тип троянов Android, предназначенных для приложений, связанных с банковскими операциями и переводами денег. Вредоносное ПО, называемое EventBot, способно собирать конфиденциальные данные и даже перехватывать SMS-сообщения 2FA. EventBot сделал своей целью десятки приложений и кошельков для криптовалюты Android ОС, включая Binance, Coinbase, CoinMarketCap, Mycelium Wallet, CoinGecko, CEX.IO, Blockfolio, BitPay и многие другие.

Согласно отчету компании Cybereason, занимающейся исследованиями в области безопасности, вредоносное ПО было впервые обнаружено еще в марте и значительно отличается от ранее известного вредоносного ПО, поскольку большая часть обнаруженного кода написана с нуля.

EventBot пока находится в активной разработке, и каждые несколько дней выпускаются новые версии с новыми улучшениями и возможностями. В электронном письме, предоставленном CryptoSlate, Cybereason объяснил, что вредоносная программа маскируется под легитимное приложение, хотя в настоящее время ее нет в Google Play Store.

После установки ничего не подозревающими пользователями EventBot продолжает использовать функции Android, чтобы получить доступ к ценной информации пользователя, системной информации и данным, хранящимся в других приложениях. Вредоносное ПО может даже перехватывать SMS-сообщения, отправляемые на телефоны пользователей в рамках двухфакторной аутентификации (2FA).

«Команда Cybereason Nocturnus пришла к выводу, что EventBot может работать почти с 300 различными банковскими и финансовыми приложениями, большинство из которых – приложения для европейских банков и криптовалют».

В рамках своего расследования Cybereason попытался идентифицировать людей, стоящих за EventBot, но обнаружил, что вредоносное ПО все еще находится на стадии разработки и, как таковое, скорее всего, ещё не использовалось для крупных атак.

В приложении к отчету о безопасности Cybereason перечислил все компании, на которые распространяется вредоносное ПО.

В список включены 296 различных банковских и финансовых приложений, в том числе PayPal Business, Revolut, Barclays, UniCredit, Lloyd’s, HSBC UK, Santander UK, Transferwise и т. д. Помимо приложений Android для некоторых крупнейших банков мира, список также включает множество крипто-компаний.

Некоторые из крупнейших игроков отрасли, такие как Coinbase, подверглись атаке со стороны вредоносного ПО. Отчет Cybereason также перечислены криптовалюта биржи CEX.IO, Changelly, Poloniex, WazirX, Bitstamp и Bitpanda уязвимыми для атак EventBot.

Компания посоветовала пользователям не загружать мобильные приложения из неофициальных или неавторизованных источников и использовать решения для защиты мобильных устройств, если они считают, что приложение может быть заражено вредоносным ПО.