Aberebot Banking Trojan

Aberebot Banking Trojan Descrizione

Un nuovo ceppo di Banking Trojan è stato analizzato dai ricercatori di Cyble. Denominato Aberebot, il comportamento della minaccia è coerente con quello di altri malware di questo tipo. L'obiettivo degli aggressori è stabilire Aberebot sul dispositivo Android della vittima, ottenere numerosi privilegi e quindi raccogliere informazioni sensibili, principalmente credenziali bancarie. La minaccia è in grado di colpire i clienti di oltre 140 banche distribuite in 18 paesi.

Come vettore di infezione, Aberebot utilizza molto probabilmente campagne di phishing fornite tramite piattaforme applicative di terze parti. È stato anche osservato che la minaccia si traveste da legittima applicazione di Google Chrome.

Capacità minacciose

L'applicazione armata richiede di ricevere 10 autorizzazioni sul dispositivo che, se concesse, gli consentiranno di eseguire varie azioni minacciose. Aberebot può raccogliere vari tipi di informazioni, come i contatti dell'utente compromesso mentre intercetta eventuali OTP (One-Time Password) in entrata ricevuti tramite SMS. Per ottenere le credenziali bancarie della vittima, Aberebot utilizza il metodo tipico di visualizzare una pagina di phishing utilizzando WebView sopra la pagina dell'applicazione legittima. Le diverse pagine di phishing vengono recuperate da un repository GitHub, che riduce drasticamente l'impronta complessiva della minaccia.

Aberebot è in grado di abusare del servizio di accessibilità Android per abilitare varie altre autorizzazioni per se stesso. Il servizio di accessibilità consente inoltre alla minaccia di spiare l'attività dell'utente monitorando lo schermo del dispositivo. La stessa autorizzazione viene ulteriormente sfruttata per limitare la capacità dell'utente di modificare le impostazioni dell'applicazione non sicura.

Le azioni esatte eseguite da Aberebot sono controllate tramite una comunicazione costante con un server C2 (Command-and-Control). L'infrastruttura C2 è ospitata su un account bot di Telegram.