Банковский троян Aberebot

Исследователи Cyble проанализировали новый штамм банковских троянцев. Поведение угрозы под названием Aberebot соответствует поведению других вредоносных программ этого типа. Цель злоумышленников - установить Aberebot на Android-устройство жертвы, получить многочисленные привилегии, а затем собрать конфиденциальную информацию, в основном банковские учетные данные. Угроза способна затронуть клиентов более 140 банков в 18 странах мира.

В качестве вектора заражения Aberebot, скорее всего, использует фишинговые кампании, проводимые через сторонние платформы приложений. Также было замечено, что угроза маскируется под законное приложение Google Chrome.

Угрожающие возможности

Вооруженное приложение запрашивает на устройстве 10 разрешений, которые, если они предоставлены, позволят ему выполнять различные угрожающие действия. Aberebot может собирать различную информацию, такую как контакты скомпрометированного пользователя, при перехвате любых входящих одноразовых паролей (OTP), полученных через SMS. Чтобы получить банковские учетные данные жертвы, Aberebot использует типичный метод отображения фишинг-страницы с помощью WebView поверх законной страницы приложения. Различные фишинговые страницы извлекаются из репозитория GitHub, что резко снижает общий след угрозы.

Aberebot может злоупотреблять службой доступности Android, чтобы включить для себя различные другие разрешения. Служба доступности также позволяет угрозе шпионить за действиями пользователя, отслеживая экран устройства. Это же разрешение дополнительно используется для ограничения возможности пользователя изменять настройки небезопасного приложения.

Точные действия, выполняемые Aberebot, контролируются посредством постоянной связи с сервером C2 (Command-and-Control). Инфраструктура C2 размещена в учетной записи бота Telegram.