Aberebot банков троянец

Изследователите от Cyble са анализирали нов банков троянски щам. Наречен Aberebot, поведението на заплахата е в съответствие с това на други злонамерени програми от този тип. Целта на нападателите е да установят Aberebot на устройството с Android на жертвата, да получат множество привилегии и след това да събират чувствителна информация, главно банкови идентификационни данни. Заплахата може да засегне клиенти на над 140 банки, разпределени в 18 държави.

Като инфекциозен вектор, Aberebot най-вероятно използва фишинг кампании, доставяни чрез платформи за приложения на трети страни. Забелязва се също, че заплахата се маскира като законно приложение за Google Chrome.

Заплашителни възможности

Оръжейното приложение иска да получи 10 разрешения на устройството, което, ако бъде предоставено, ще му позволи да извършва различни заплашителни действия. Aberebot може да събира различни видове информация, като контактите на компрометирания потребител, като прихваща всички входящи OTP (еднократни пароли), получени чрез SMS. За да получи банковите идентификационни данни на жертвата, Aberebot използва типичния метод за показване на фишинг страница, използвайки WebView отгоре на страницата на законното приложение. Различните страници за фишинг се извличат от хранилище на GitHub, което намалява драстично общия отпечатък на заплахата.

Aberebot е в състояние да злоупотребява с услугата за достъпност на Android, за да даде възможност за различни други разрешения за себе си. Услугата за достъпност също позволява на заплахата да шпионира активността на потребителя, като наблюдава екрана на устройството. Същото разрешение се използва допълнително, за да се ограничи възможността на потребителя да променя настройките на опасното приложение.

Точните действия, извършвани от Aberebot, се контролират чрез постоянна комуникация със сървър C2 (Command-and-Control). Инфраструктурата на C2 се хоства в акаунт на бот в Telegram.