Aberebot Banking Trojan

Aberebot Banking Trojan Beschrijving

Een nieuwe Banking Trojan-stam werd geanalyseerd door de onderzoekers van Cyble. Het dreigingsgedrag, genaamd Aberebot, komt overeen met dat van andere malware van dit type. Het doel van de aanvallers is om de Aberebot op het Android-apparaat van het slachtoffer te installeren, tal van privileges te verkrijgen en vervolgens gevoelige informatie te verzamelen, voornamelijk bankgegevens. De dreiging kan gevolgen hebben voor klanten van meer dan 140 banken verspreid over 18 landen.

Als infectievector maakt Aberebot waarschijnlijk meestal gebruik van phishing-campagnes die worden geleverd via applicatieplatforms van derden. Het is ook waargenomen dat de dreiging zichzelf vermomt als de legitieme Google Chrome-applicatie.

Dreigende mogelijkheden

De bewapende applicatie vraagt om 10 machtigingen op het apparaat waarmee het, indien verleend, verschillende bedreigende acties kan uitvoeren. Aberebot kan verschillende soorten informatie verzamelen, zoals de contacten van de gecompromitteerde gebruiker, terwijl het binnenkomende OTP (eenmalige wachtwoorden) die via sms worden ontvangen, onderschept. Om de bankgegevens van het slachtoffer te verkrijgen, gebruikt Aberebot de typische methode om een phishing-pagina weer te geven met behulp van WebView bovenop de legitieme applicatiepagina. De verschillende phishing-pagina's worden opgehaald uit een GitHub-repository, waardoor de totale voetafdruk van de dreiging drastisch wordt verkleind.

Aberebot kan de Android Accessibility Service misbruiken om verschillende andere machtigingen voor zichzelf in te schakelen. Met de toegankelijkheidsservice kan de dreiging ook de activiteit van de gebruiker bespioneren door het scherm van het apparaat te bewaken. Dezelfde toestemming wordt verder gebruikt om de mogelijkheid van de gebruiker om de instellingen van de onveilige applicatie te wijzigen te beperken.

De exacte acties die door Aberebot worden uitgevoerd, worden gecontroleerd via constante communicatie met een C2 (Command-and-Control) server. De C2-infrastructuur wordt gehost op een Telegram-botaccount.