Aberebot Banking Trojan

Um novo tipo de Trojan bancário foi analisada pelos pesquisadores da Cyble. Chamado de Aberebot, o comportamento da ameaça é consistente com o de outro malware desse tipo. O objetivo dos invasores é estabelecer o Aberebot no dispositivo Android da vítima, obter vários privilégios e, em seguida, coletar informações confidenciais, principalmente credenciais bancárias. A ameaça é capaz de afetar clientes de mais de 140 bancos espalhados por 18 países.

Como um vetor de infecção, o Aberebot provavelmente utiliza campanhas de phishing fornecidas por meio de plataformas de aplicativos de terceiros. A ameaça também foi observada se disfarçando como o aplicativo legítimo do Google Chrome.

Capacidades Ameaçadoras

O aplicativo armado solicita o recebimento de 10 permissões no dispositivo que, se concedidas, permitirão que ele execute várias ações ameaçadoras. O Aberebot pode coletar vários tipos de informações, como os contatos do usuário comprometido, enquanto intercepta qualquer OTP (Senha Única) recebida via SMS. Para obter as credenciais bancárias da vítima, o Aberebot emprega o método típico de exibição de uma página de phishing usando o WebView no topo da página do aplicativo legítimo. As diferentes páginas de phishing são buscadas em um repositório GitHub, o que reduz drasticamente a pegada geral da ameaça.

A Aberebot é capaz de abusar do Serviço de Acessibilidade do Android para habilitar várias outras permissões para si mesmo. O Serviço de Acessibilidade também permite que a ameaça espione a atividade do usuário monitorando a tela do dispositivo. A mesma permissão é explorada posteriormente para restringir a capacidade do usuário de modificar as configurações do aplicativo não seguro.

As ações exatas realizadas pelo Aberebot são controladas por meio de comunicação constante com um servidor C2 (Comando e Controle). A infraestrutura C2 é hospedada em uma conta de bot do Telegram.