Aberebot 뱅킹 트로이 목마

Aberebot 뱅킹 트로이 목마 설명

Cyble의 연구원들이 새로운 뱅킹 트로이 목마 변종을 분석했습니다. Aberebot이라는 이름의 위협 동작은 이러한 유형의 다른 맬웨어와 일치합니다. 공격자의 목표는 피해자의 Android 기기에 Aberebot을 설정하고 수많은 권한을 얻은 다음 주로 은행 자격 증명과 같은 민감한 정보를 수집하는 것입니다. 이 위협은 18개국에 퍼져 있는 140개 이상의 은행 고객에게 영향을 미칠 수 있습니다.

감염 매개체로서 Aberebot은 타사 애플리케이션 플랫폼을 통해 전달되는 피싱 캠페인을 주로 활용합니다. 위협은 또한 합법적인 Google 크롬 애플리케이션으로 위장하는 것으로 관찰되었습니다.

위협적인 능력

무기화된 애플리케이션은 장치에 대한 10개의 권한을 요청하며, 이 권한은 허용되는 경우 다양한 위협 작업을 수행할 수 있습니다. Aberebot은 SMS를 통해 수신되는 수신 OTP(일회용 비밀번호)를 가로채는 동안 손상된 사용자의 연락처와 같은 다양한 정보 종류를 수집할 수 있습니다. 피해자의 뱅킹 자격 증명을 얻기 위해 Aberebot은 합법적인 애플리케이션 페이지 상단에 WebView를 사용하여 피싱 페이지를 표시하는 일반적인 방법을 사용합니다. GitHub 리포지토리에서 다양한 피싱 페이지를 가져오므로 위협의 전체 공간이 크게 줄어듭니다.

Aberebot은 Android 접근성 서비스를 남용하여 자체적으로 다양한 다른 권한을 활성화할 수 있습니다. 접근성 서비스는 또한 위협이 장치의 화면을 모니터링하여 사용자의 활동을 감시할 수 있도록 합니다. 안전하지 않은 응용 프로그램의 설정을 수정하는 사용자의 능력을 제한하기 위해 동일한 권한이 추가로 악용됩니다.

Aberebot이 수행하는 정확한 작업은 C2(명령 및 제어) 서버와의 지속적인 통신을 통해 제어됩니다. C2 인프라는 Telegram 봇 계정에서 호스팅됩니다.