Aberebot Banking Trojan

Cyble'daki araştırmacılar tarafından yeni bir Bankacılık Truva Atı türü analiz edildi. Aberebot adlı tehdit davranışı, bu türdeki diğer kötü amaçlı yazılımlarınkiyle tutarlıdır. Saldırganların amacı, kurbanın Android cihazında Aberebot'u kurmak, sayısız ayrıcalık elde etmek ve ardından başta bankacılık kimlik bilgileri olmak üzere hassas bilgileri toplamaktır. Tehdit, 18 ülkeye yayılmış 140'tan fazla bankanın müşterilerini etkileyebilir.

Bir enfeksiyon vektörü olarak Aberebot, büyük olasılıkla üçüncü taraf uygulama platformları aracılığıyla sağlanan kimlik avı kampanyalarını kullanır. Tehdidin de kendini meşru Google Chrome uygulaması olarak gizlediği gözlemlendi.

Tehdit Edici Yetenekler

Silahlı uygulama, cihazda, verilirse çeşitli tehdit eylemleri gerçekleştirmesine izin verecek 10 izin almayı talep ediyor. Aberebot, SMS yoluyla alınan herhangi bir gelen OTP'yi (Tek Kullanımlık Şifreler) ele geçirirken, güvenliği ihlal edilen kullanıcının kişileri gibi çeşitli bilgi türlerini toplayabilir. Aberebot, kurbanın bankacılık kimlik bilgilerini elde etmek için, meşru uygulama sayfasının üstünde WebView kullanarak bir kimlik avı sayfası görüntülemenin tipik yöntemini kullanır. Farklı kimlik avı sayfaları, tehdidin genel ayak izini büyük ölçüde azaltan bir GitHub deposundan alınır.

Aberebot, Android Erişilebilirlik Hizmetini kendisi için çeşitli izinleri etkinleştirmek için kötüye kullanma yeteneğine sahiptir. Erişilebilirlik Hizmeti, cihazın ekranını izleyerek tehdidin kullanıcının etkinliğini gözetlemesine de izin verir. Aynı izin, kullanıcının güvenli olmayan uygulamanın ayarlarını değiştirme yeteneğini kısıtlamak için daha fazla kullanılır.

Aberebot tarafından gerçekleştirilen tam eylemler, bir C2 (Komut ve Kontrol) sunucusuyla sürekli iletişim yoluyla kontrol edilir. C2 altyapısı bir Telegram bot hesabında barındırılıyor.