Aberebot Banking Trojan

En ny Bank Trojan -stam analyserades av forskarna på Cyble. Vid namnet Aberebot överensstämmer hotbeteendet med andra malware av denna typ. Angriparnas mål är att etablera Aberebot på offrets Android -enhet, få många privilegier och sedan samla in känslig information, främst bankuppgifter. Hotet kan påverka kunder i över 140 banker spridda över 18 länder.

Som en infektionsvektor använder Aberebot förmodligen phishing-kampanjer som levereras via tredjepartsapplikationsplattformar. Hotet har också observerats för att dölja sig som den legitima Google Chrome -applikationen.

Hotande förmågor

Den vapenförsedda applikationen begär att få 10 behörigheter på enheten som, om den beviljas, gör att den kan utföra olika hotfulla åtgärder. Aberebot kan samla in olika typer av information, till exempel kontakterna hos den komprometterade användaren samtidigt som de avlyssnar inkommande OTP (engångslösenord) som tas emot via SMS. För att få offrets bankuppgifter använder Aberebot den typiska metoden att visa en nätfiske -sida med WebView ovanpå den legitima applikationssidan. De olika phishing -sidorna hämtas från ett GitHub -arkiv, vilket minskar hotets totala fotavtryck drastiskt.

Aberebot kan missbruka Android Accessibility Service för att möjliggöra olika andra behörigheter för sig själv. Tillgänglighetstjänsten tillåter också hotet att spionera på användarens aktivitet genom att övervaka enhetens skärm. Samma tillstånd utnyttjas ytterligare för att begränsa användarens förmåga att ändra det osäkra programmets inställningar.

De exakta åtgärderna som utförs av Aberebot styrs via konstant kommunikation med en C2-server (Command-and-Control). C2 -infrastrukturen finns på ett Telegram -botkonto.