继驰名僵尸网络Emotet在近期卷土素来,另一安卓银行木马Aberebot也有俯视之势。据BleepingComputer网站信息,Aberebot正化身“Escobar”的名义重返,并迭代了新配置,包括窃取 Google Authenticator多起因身份验证代码。
往年2月,Bleeping Computer在一个俄语黑客论坛上发现,Aberebot 开发人员以“Escobar Bot Android BankingTrojan”的名义宣传他们的新版本恶意软件。开发人员以每月 3000 美元的多少钱向最多 5名客户租用该恶意软件的测试版,这些客户可在3天内对新版本软件启动测试,开发人员方案在研发成功后将恶意软件的多少钱提高到 5000 美元。
卖家在黑客论坛上的宣传帖
安保钻研团队MalwareHunterTeam于3月3日发现了基于Escobar伪装成McAfee运行程序的可疑APK,并正告其对绝大少数反病毒引擎具备隐蔽性。
与大少数银行木马一样,Escobar经过笼罩登录表单以劫持用户与电子银行运行程序和网站的交互,并从受益者那里窃取账户凭证。该恶意软件还蕴含其余几个配置,使其对任何Android 版本都有效,即使笼罩注入被某种形式阻止。
该恶意软件会向设备恳求25个权限,其中有15个被用于恶意目的,包括可访问性、音频记载、读取SMS、读/写存储、失掉帐户列表、禁用键锁、拨打电话和访问准确的设备位置。恶意软件会将搜集的一切内容上行到 C2 主机,包括 SMS通话日志、关键日志、通知和 Google Authenticator 代码。
失掉Google Authenticator 代码
双重身份验证码经过 SMS 送达,或许存储在基于 HMAC 软件的工具(如 Google Authenticator)中并启动轮换。后者因为不易遭到SIM 替换攻打而被以为更安保,但仍不可防止恶意软件侵入用户空间。
此外,攻打者还应用VNC Viewer这种远程控制配置的跨平台屏幕共享适用程序,对用户设备启动全程操控。
VNC 检查器代码
除了上述之外,Aberebot 还可以录制音频或截取屏幕截图,并将两者都发送到攻打者控制的 C2。
如今判别新的 Escobar在网络立功社区中的盛行水平还为时过早,尤其是在多少钱相对较高的状况下。虽然如此,它如今曾经足够弱小,可以吸引更宽泛的要挟介入者。
通常,用户可以经过防止在 Google Play 之外装置 APK、经常使用移动安保工具并确保在设备上启用 Google Play Protect来最大水高山缩小感化 Android恶意软件的时机。此外,从任何起源装置新运行程序时,务必留意意外的权限恳求,并在前几天监控运行程序的电池和网络消耗统计数据,以识别任何可疑形式。