Aberebot Banking Trojan

Aberebot Banking Trojan

Ein neuer Banking-Trojaner-Stamm wurde von den Forschern von Cyble analysiert. Das Bedrohungsverhalten mit dem Namen Aberebot stimmt mit dem anderer Malware dieser Art überein. Das Ziel der Angreifer ist es, den Aberebot auf dem Android-Gerät des Opfers zu etablieren, zahlreiche Privilegien zu erlangen und dann sensible Informationen, hauptsächlich Bankdaten, zu sammeln. Die Bedrohung kann Kunden von über 140 Banken in 18 Ländern betreffen.

Als Infektionsvektor nutzt Aberebot höchstwahrscheinlich Phishing-Kampagnen, die über Anwendungsplattformen von Drittanbietern bereitgestellt werden. Es wurde auch beobachtet, dass sich die Bedrohung als legitime Google Chrome-Anwendung tarnt.

Bedrohungspotenziale

Die bewaffnete Anwendung fordert den Erhalt von 10 Berechtigungen auf dem Gerät an, die es ihm, wenn sie gewährt werden, ermöglichen, verschiedene bedrohliche Aktionen auszuführen. Aberebot kann verschiedene Arten von Informationen sammeln, z. B. die Kontakte des kompromittierten Benutzers, während er alle eingehenden OTP (One-Time Passwords) abfängt, die per SMS empfangen werden. Um die Bankdaten des Opfers zu erhalten, verwendet Aberebot die typische Methode, eine Phishing-Seite mit WebView über der legitimen Anwendungsseite anzuzeigen. Die verschiedenen Phishing-Seiten werden aus einem GitHub-Repository abgerufen, was den Gesamtfußabdruck der Bedrohung drastisch reduziert.

Aberebot ist in der Lage, den Android Accessibility Service zu missbrauchen, um verschiedene andere Berechtigungen für sich selbst zu aktivieren. Der Accessibility Service ermöglicht es der Bedrohung auch, die Aktivität des Benutzers auszuspionieren, indem sie den Bildschirm des Geräts überwacht. Dieselbe Berechtigung wird weiter ausgenutzt, um die Möglichkeit des Benutzers einzuschränken, die Einstellungen der unsicheren Anwendung zu ändern.

Die genauen Aktionen von Aberebot werden durch ständige Kommunikation mit einem C2-Server (Command-and-Control) gesteuert. Die C2-Infrastruktur wird auf einem Telegram-Bot-Konto gehostet.

Im Trend

Wird geladen...