Escobar Android Malware

Die Escobar-Android-Malware ist ein mächtiger Banking-Trojaner, der über eine Reihe von aufdringlichen und bedrohlichen Funktionen und Fähigkeiten verfügt. Darüber hinaus befindet sich die Bedrohung weiterhin in aktiver Entwicklung und könnte in Zukunft noch invasiver werden. Es sollte beachtet werden, dass Escobar kein völlig neuer Malware-Stamm ist. Tatsächlich scheint es sich um ein Rebranding eines zuvor identifizierten Mobile-Banking-Trojaners namens Aberebot zu handeln. Es scheint, dass nach der Erweiterung der Funktionalitäten von Aberebot, entschieden sich die Entwickler der Bedrohung für ein Rebranding.

Noch in Entwicklung

Die ersten Anzeichen der Escobar-Android-Malware lassen sich auf einen Beitrag in einem russischsprachigen Hacker-Forum vom Februar 2022 zurückführen. Der Beitrag führte aus, dass Escobar in der BETA-Entwicklungsphase betrachtet wird. Daher waren die Entwickler bereit, 5 Kunden für 3000 US-Dollar pro Monat Zugang zu dem Bedrohungstool zu gewähren. Kandidaten sollten den Trojaner außerdem drei Tage lang kostenlos testen können. Nach der vollständigen Veröffentlichung der Bedrohung würde der Preis auf 5000 US-Dollar pro Monat erhöht. Einen Monat später, im März 2022, stellten Sicherheitsforscher fest, dass sich die Escobar-Bedrohung als McAfee-Anwendung ausgibt.

Wachsende Liste von Funktionen

Der Banking-Trojaner Escobar verwendet Overlay-Anmeldeformulare, um alle Benutzerinteraktionen mit ausgewählten Banking-Apps und Websites zu erfassen und die Anmeldeinformationen des Opfers zu sammeln. Bisher ist die Malware in der Lage, 190 verschiedene Finanzinstitute in 18 Ländern anzugreifen. Darüber hinaus kann Escobar durch das Anfordern von insgesamt 25 Berechtigungen zahlreiche andere schädliche Aktionen auf den verletzten Geräten ausführen.

Die Bedrohung ist in der Lage, SMS zu lesen, Audio aufzunehmen, beliebige Screenshots zu machen, Anrufe zu tätigen, auf die Geolokalisierung des Geräts zuzugreifen, Anrufprotokolle, Schlüsselprotokolle, Benachrichtigungen und sogar Google Authenticator-Codes zu sammeln, die von zahlreichen Dienstleistungen in 2FA (Zwei-Faktor-Authentifizierung) verwendet werden. Alle gesammelten Informationen werden dann auf den Command-and-Control (C2, C&C)-Server der Operation exfiltriert. Die Entwickler der Android-Malware Escobar missbrauchen den VNC-Viewer, ein Dienstprogramm für die plattformübergreifende Bildschirmfreigabe, um ihre Reichweite und die Aktionen, die sie auf dem kompromittierten Gerät ausführen können, weiter zu erweitern.