Aberebot Android Bankacılığı Truva, Google Authenticator çok faktörlü kimlik doğrulama kodlarını çalmak da dahil olmak üzere yeni özelliklere sahip 'Escobar' adına geri döndü.
En son ABEREBOT versiyonundaki yeni özellikler ayrıca VNC kullanarak enfekte olmayan Android cihazların kontrolünü ele geçirme, ses kaydetme ve fotoğraf çekme, aynı zamanda kimlik bilgisi hırsızlığı için hedeflenen uygulamalar kümesini genişletir.
Trojan'ın asıl amacı, tehdit aktörlerinin mağdurların banka hesaplarını devralmasına, SIPHON mevcut bakiyeleri devralmasına ve yetkisiz işlemleri yapmalarını sağlamak için yeterince bilgi çalmaktır.
Kela'nın Cyber-Intelligence DarkBeast Platformunu Kullanarak, BleepingComputer, Aberebot Geliştiricisinin 'Escobar Bot Android Bankacılık Trojan adı altında yeni sürümlerini tanıttıkları Şubat 2022'den itibaren Rusça konuşan bir hack forumunda bir forum gönderdi.
Kötü amaçlı yazılım yazılımının kötü amaçlı yazılımın beta versiyonunu ayda 3,000 ABD doları, üç gün boyunca botu ücretsiz olarak test etme yeteneğine sahip olan tehdit aktörleriyle birlikte, en fazla beş müşteriye 3,000 ABD doları kiralıyor.
Tehdit oyuncusu, kötü amaçlı yazılımın fiyatını geliştirme işleminden sonra 5.000 dolara yükseltmeye yönelik planlar.
MalwarehunterTeam ilk önce 3 Mart 2022'de şüpheli APK'yi gördü, McAfee uygulaması olarak maskelendi ve virüsten koruma motorlarının büyük çoğunluğuna karşı gizliliği konusunda uyardı.
Olası ilginç, çok düşük tespit edilen "mcafee9412.apk": A9D1561ED0D23A5473D68069337E2F8E7862F7B72B74251EB63CCC883BA9459F From: https: //cdn.discordapp [.] COM / Ekler / 9008189068689461/948690034867986462 / mcafee9412.apk "com.escobar.pablo" pic.twitter.com/qr89lv4jat
Bu, Aberebot Trojan'ın yeni 'Escobar' varyantının bir analizini yapan Cyle'daki araştırmacılar tarafından toplandı.
Aynı analistlere göre, ABEREBOT ilk olarak 2021 yazında vahşi doğada ortaya çıktı, bu nedenle yeni bir versiyonun görünümü aktif gelişimi gösteriyor.
Bankacılık Truva atlarının çoğu gibi, ESCOBAR, e-bankacılık uygulamaları ve web siteleri ile kullanıcı etkileşimlerini kaçırmak ve mağdurlardan kimlik bilgilerini çalmak için kaplama giriş formlarını gösterir.
Kötü amaçlı yazılım, kaplama enjeksiyonları bir şekilde engellenmemiş olsa bile, herhangi bir Android sürümüne karşı güçlendiren diğer birçok özellikleri de paketler.
Yazarlar, hedeflenen bankalar ve finansal kurumların, en son sürümde 18 ülkeden 190 varlığına kadar genişletti.
Kötü amaçlı yazılım, 15'in kötü amaçlı amaçlar için kötüye kullanıldığı 25 izin talep eder. Örnekler arasında erişilebilirlik, ses kaydı, SMS okuma / yazma, saklama okuma / yazma, KeyLock'u devre dışı bırakma, arama yapma ve hassas cihaz konumuna erişme.
Kötü amaçlı yazılımın toplandığı her şey, SMS çağrısı günlükleri, anahtar günlükleri, bildirimler ve Google kimlik kodları dahil olmak üzere C2 sunucusuna yüklenir.
Yukarıdakiler, e-Bankacılık hesaplarının kontrolünü üstlendiğinde, sahtekarların iki faktörlü kimlik doğrulama engellerinin üstesinden gelmesine yardımcı olmak için yeterlidir.
2FA kodları SMS yoluyla gelir veya Google'ın kimlik doğrulaması gibi HMAC yazılım tabanlı araçlarda depolanır ve döndürülür. İkincisi, SIM takas saldırılarına duyarlı olmadığı için daha güvenli olarak kabul edilir, ancak kullanıcının kullanıcısına sızan kötü amaçlı yazılımlardan hala korunmaz.
Ayrıca, uzaktan kumanda özelliklerine sahip bir çapraz platform ekran paylaşımı yardımcı programı olan VNC görüntüleyici'nin eklenmesi, tehdit aktörlerine, cihazın gözetim edildiğinde ne istediklerini yapmak için yeni güçlü bir silah verir.
Yukarıdakilerin yanı sıra, aberebot ayrıca ses klipslerini de kaydedebilir veya ekran görüntülerini kaydedebilir veya ayrıca aşağıda listelenen desteklenen komutların tam listesi ile hem aktör kontrollü C2'ye ekran görüntülerini de kaydedebilir ve elden geçirebilir.
Yeni Escobar kötü amaçlı yazılımının, özellikle nispeten yüksek bir fiyata ne kadar popüler olacağını söylemek hala erken. Bununla birlikte, şimdi daha geniş bir izleyici kitlesini girecek kadar güçlü.
Ayrıca, onu kiralayabilecek rastgele aktörleri içeren operasyonel modeli, dağıtım kanalları ve yöntemleri büyük ölçüde değişebilir.
Genel olarak, Google Play'in dışındaki APK'lerin kurulumundan kaçınarak, mobil güvenlik aracı kullanarak ve Google Play Protection'un cihazınızda etkinleştirilmesini sağlayarak, Android Truva atlarına enfekte olma şansını en aza indirebilirsiniz.
Ek olarak, herhangi bir kaynaktan yeni bir uygulama kurarken, izinler için olağandışı isteklere dikkat edin ve uygulamanın bataryasını ve ağ tüketim istatistiklerini, şüpheli kalıpları tanımlamak için ilk birkaç gündür izleyin.
Saplı Kimlik Avı Yöntemi Uzaktan Erişim Yazılımını Kullanarak MFA'yı Bypass
Sharkbot Malware Google Play'de Android Antivirüs Olarak Hide
Teabot Kötü amaçlı yazılım, ABD kullanıcılarını hedeflemek için Google Play Store'a geri döner
Yeni Xenomorph Android Malware 56 Bankanın Müşterilerini Hedefliyor
Medusa Kötü Amaçlı Yazılım Rampaları Yukarı Android SMS Kimlik Avı Saldırıları
Kaynak: Bleeping Computer