Aberebot Banking Trojan

Naukowcy z Cyble przeanalizowali nowy szczep trojana bankowego. O nazwie Aberebot zachowanie zagrożenia jest zgodne z innym złośliwym oprogramowaniem tego typu. Celem atakujących jest ustanowienie Aberebota na urządzeniu z Androidem ofiary, uzyskanie licznych uprawnień, a następnie zebranie poufnych informacji, głównie danych uwierzytelniających bank. Zagrożenie może dotknąć klientów ponad 140 banków w 18 krajach.

Jako wektor infekcji Aberebot najprawdopodobniej wykorzystuje kampanie phishingowe dostarczane za pośrednictwem platform aplikacji innych firm. Zaobserwowano również, że zagrożenie podszywa się pod legalną aplikację Google Chrome.

Zdolności grożące

Uzbrojona aplikacja prosi o uzyskanie 10 uprawnień na urządzeniu, które, jeśli zostaną przyznane, pozwolą na wykonywanie różnych groźnych działań. Aberebot może zbierać różne rodzaje informacji, takie jak kontakty zaatakowanego użytkownika, jednocześnie przechwytując przychodzące hasła OTP (jednorazowe) otrzymane za pośrednictwem SMS-ów. Aby uzyskać dane uwierzytelniające bankowe ofiary, Aberebot wykorzystuje typową metodę wyświetlania strony phishingowej za pomocą WebView na górze strony legalnej aplikacji. Różne strony phishingowe są pobierane z repozytorium GitHub, co drastycznie zmniejsza ogólny ślad zagrożenia.

Aberebot może nadużywać usługi ułatwień dostępu Androida, aby umożliwić sobie różne inne uprawnienia. Usługa ułatwień dostępu pozwala również zagrożeniu na szpiegowanie aktywności użytkownika poprzez monitorowanie ekranu urządzenia. To samo uprawnienie jest dalej wykorzystywane do ograniczania możliwości modyfikowania przez użytkownika ustawień niebezpiecznej aplikacji.

Dokładne działania wykonywane przez Aberebota są kontrolowane poprzez stałą komunikację z serwerem C2 (Command-and-Control). Infrastruktura C2 jest hostowana na koncie bota Telegram.