عثر باحثون بإحدى شركات الأمن الإلكتروني على برمجية خبيثة في نظام التشغيل أندرويد تستهدف بصورة خاصة التطبيقات المصرفية، ومحافظ العملات المشفرة، والتى يمكنها سرقة كلمات المرور الخاصة بهم، حيث أطلقت شركة Cybereason الأمنية على البرمجية الخبيثة اسم EventBot.
وبحسب موقع TechCrunch الأمريكى، قالت الشركة إن البرمجية الخبيثة قادرة على التنكر بصورة تطبيق أندرويد شرعي، مثل: Adobe Flash، أوMicrosoft Word، ثم تسيء استخدام ميزات إمكانية الوصول المضمنة في أندرويد للحصول على وصول عميق إلى نظام تشغيل الجهاز.
وبمجرد تثبيت أي تطبيق يضم البرمجية الخبيثة، فإنه يسرق بهدوء كلمات المرور لأكثر من 200 تطبيق من تطبيقات المصارف والتشفير، ويشمل ذلك: PayPal، وCoinbase، وCapitalOne، وHSBC، كما أنه يعترض رموز الرسائل النصية التي تصل إلى الجهاز للاستخدام في ميزة المصادقة الثنائية.
وبحسب التقرير، فإنه باستخدام كلمات مرور الضحية، ورموز المصادقة الثنائية، يمكن للهاكرز اختراق الحسابات المصرفية، والتطبيقات، والمحافظ، وسرقة أموال الضحية، فيم قال رئيس قسم أبحاث التهديدات في Cybereason:"لقد استثمر مطورو EventBot الكثير من الوقت والموارد في إنشاء الرمز، وفي مستوى التعقيد والقدرات المرتفع حقًا".
وكشفت الشركة الأمنية أن البرمجية الخبيثة تُسجّل بهدوء كل نقرة وضغطة على مفاتيح الجهاز، ويمكنها قراءة الإشعارات من التطبيقات المثبتة الأخرى، مما يمنح الهاكرز نافذة إلى ما يحدث على جهاز الضحية، وبمرور الوقت، تُرسل البرمجية كلمات مرور التطبيقات المصرفية والعملات المشفرة إلى خادم المتسللين.
وأشار الباحثين إلى أن برمجية EventBot لا تزال قيد التطوير، فعلى مدى عدة أسابيع منذ اكتشافها في شهر مارس الماضي، شاهد الباحثين البرمجية الخبيثة يجري تحديثها بصورة متكررة كل بضعة أيام لتشمل ميزات ضارة جديدة، وفي إحدى المراحل، حسَّن مطورو البرمجية نظام التشفير المستخدم للتواصل مع الخادم، وأدرجوا ميزة جديدة يمكنها الحصول على رمز قفل جهاز المستخدم.