Aberebot Banking Trojan

En ny Bank Trojan -stamme blev analyseret af forskerne på Cyble. Trusseladfærden, der hedder Aberebot, er i overensstemmelse med den for andre malware af denne type. Angribernes mål er at etablere Aberebot på offerets Android -enhed, opnå talrige privilegier og derefter indsamle følsomme oplysninger, hovedsageligt bankoplysninger. Truslen kan påvirke kunder i over 140 banker fordelt på 18 lande.

Som en infektionsvektor anvender Aberebot sandsynligvis phishing-kampagner, der leveres via tredjeparts applikationsplatforme. Truslen er også blevet observeret for at skjule sig selv som den legitime Google Chrome -applikation.

Truende muligheder

Den våbnede applikation anmoder om at modtage 10 tilladelser på enheden, der, hvis den bliver givet, giver den mulighed for at udføre forskellige truende handlinger. Aberebot kan indsamle forskellige former for information, f.eks. Kontakterne til den kompromitterede bruger, mens de opsnapper enhver indgående OTP (engangskodeord) modtaget via SMS. For at opnå offerets bankoplysninger bruger Aberebot den typiske metode til visning af en phishing -side ved hjælp af WebView oven på den legitime applikationsside. De forskellige phishing -sider hentes fra et GitHub -depot, hvilket reducerer truslens samlede fodaftryk drastisk.

Aberebot er i stand til at misbruge Android Accessibility Service for at muliggøre forskellige andre tilladelser for sig selv. Tilgængelighedstjenesten tillader også truslen at spionere på brugerens aktivitet ved at overvåge enhedens skærm. Den samme tilladelse udnyttes yderligere til at begrænse brugerens evne til at ændre den usikre applikations indstillinger.

De nøjagtige handlinger udført af Aberebot styres via konstant kommunikation med en C2 (Command-and-Control) server. C2 -infrastrukturen er hostet på en Telegram -botkonto.