Il popolare trojan bancario Android Aberebot è tornato sotto il nome “Escobar” con nuove funzionalità, tra cui il furto di codici di autenticazione a più fattori di Google Authenticator, e con un nome e un’icona simili all’app antivirus legittima, McAfee.
BleepingComputer, attraverso la piattaforma di cyber-intelligence DARKBEAST di KELA, ha trovato un post su un forum di hacking di lingua russa del febbraio 2022 in cui lo sviluppatore Aberebot promuove la sua nuova versione sotto il nome “Escobar Bot Android Banking Trojan”. I ricercatori di Cyble si sono imbattuti in un post su Twitter e hanno eseguito un’analisi della nuova variante “Escobar” del trojan Aberebot.
Le nuove funzionalità includono il furto di dati da Google Authenticator e il controllo degli schermi dei dispositivi Android compromessi utilizzando VNC, la registrazione di audio e lo scatto di foto, espandendo anche il set di app mirate per il furto di credenziali.
L’analisi statica ha indicato che il malware ruba dati sensibili come contatti, SMS, registri delle chiamate e posizione del dispositivo. Oltre a registrare chiamate e audio, il malware elimina anche file, invia SMS, effettua chiamate e scatta foto utilizzando la fotocamera, ecc., in base ai comandi ricevuti dal server C&C.
La nuova variante prende di mira i clienti di ben 190 banche e istituti finanziari in 18 paesi.
L’obiettivo principale del malware è rubare informazioni sufficienti per consentire agli attori della minaccia di impossessarsi dei conti bancari delle vittime, sottrarre i saldi disponibili ed eseguire transazioni non autorizzate.
Escobar viene noleggiato online dai cybercriminali sul darkweb. La versione beta del malware per $ 3.000 al mese per un massimo di cinque clienti. L’attore delle minacce prevede di aumentare il prezzo del malware a $ 5.000 al termine dello sviluppo.
“Come la maggior parte dei trojan bancari, Escobar mostra moduli di accesso in overlay per dirottare le interazioni degli utenti con app e siti Web di e-banking e rubare le credenziali alle vittime. Le molte altre sue funzionalità lo rendono potente contro qualsiasi versione di Android, anche se le iniezioni di overlay sono bloccate in qualche modo.
Il malware richiede 25 autorizzazioni, di cui 15 vengono utilizzate per scopi dannosi. Gli esempi includono accessibilità, registrazione audio, lettura di SMS, lettura/scrittura di archiviazione, ottenere l’elenco degli account, disabilitare il blocco tasti, effettuare chiamate e accedere alla posizione precisa del dispositivo.
Tutto ciò che il malware raccoglie viene caricato sul server C2, inclusi i registri delle chiamate SMS, i registri delle chiavi, le notifiche e i codici di Google Authenticator.
Quanto sopra è sufficiente per aiutare i truffatori a superare gli ostacoli all’autenticazione a due fattori quando assumono il controllo dei conti di e-banking.
I codici 2FA arrivano tramite SMS o vengono memorizzati e ruotati in strumenti basati su software HMAC come Google’s Authenticator. Quest’ultimo è considerato più sicuro perché non è suscettibile agli attacchi di scambio di SIM, ma non è ancora protetto dal malware che si infiltra nello spazio utente.
Inoltre, l’aggiunta di VNC Viewer, un’utilità di condivisione dello schermo multipiattaforma con funzionalità di controllo remoto, offre agli attori delle minacce una nuova potente arma per fare ciò che vogliono quando il dispositivo è incustodito.
Oltre a quanto sopra, Aberebot può anche registrare clip audio o acquisire schermate ed esfiltrarli entrambi sul C2 controllato dall’attore”, si legge nel report di BleepingComputer.
