繼著名殭屍網絡Emotet在近期卷土從來,另一安卓銀行木馬Aberebot也有抬頭之勢。據Bleeping Computer網站消息,Aberebot正化身「Escobar」的名義重返,并迭代了新功能,包括竊取 Google Authenticator 多因素身份驗證代碼。
今年2月,Bleeping Computer在一個俄語黑客論壇上發現,Aberebot 開發人員以「Escobar Bot Android Banking Trojan」的名義宣傳他們的新版本惡意軟件。開發人員以每月 3000 美元的價格向最多 5 名客戶租用該惡意軟件的測試版,這些客戶可在3天內對新版本軟件進行測試,開發人員計劃在研發完成後將惡意軟件的價格提高到 5000 美元。
△ 賣家在黑客論壇上的宣傳帖
安全研究團隊MalwareHunterTeam於3月3日發現了基於Escobar偽裝成McAfee 應用程序的可疑APK,並警告其對絕大多數反病毒引擎具有隱蔽性。
與大多數銀行木馬一樣,Escobar通過覆蓋登錄表單以劫持用戶與電子銀行應用程序和網站的交互,並從受害者那裡竊取賬戶憑證。該惡意軟件還包含其他幾個功能,使其對任何 Android 版本都有效,即使覆蓋注入被某種方式阻止。
該惡意軟件會向設備請求25個權限,其中有15個被用於惡意目的,包括可訪問性、音頻記錄、讀取 SMS、讀/寫存儲、獲取帳戶列表、禁用鍵鎖、撥打電話和訪問精確的設備位置。惡意軟件會將收集的所有內容上傳到 C2 服務器,包括 SMS 通話日誌、關鍵日誌、通知和 Google Authenticator 代碼。
△獲取Google Authenticator 代碼
雙重身份驗證碼通過 SMS 送達,或者存儲在基於 HMAC 軟件的工具(如 Google Authenticator)中並進行輪換。後者由於不易受到 SIM 交換攻擊而被認為更安全,但仍無法防止惡意軟件侵入用戶空間。
此外,攻擊者還利用VNC Viewer這種遠程控制功能的跨平台屏幕共享實用程序,對用戶設備進行全程操控。
△VNC 查看器代碼
除了上述之外,Aberebot 還可以錄製音頻或截取屏幕截圖,並將兩者都發送到攻擊者控制的 C2。
現在判斷新的 Escobar 在網絡犯罪社區中的流行程度還為時過早,尤其是在價格相對較高的情況下。儘管如此,它現在已經足夠強大,可以吸引更廣泛的威脅參與者。
通常,用戶可以通過避免在 Google Play 之外安裝 APK、使用移動安全工具並確保在設備上啟用 Google Play Protect 來最大程度地減少感染 Android 惡意軟件的機會。此外,從任何來源安裝新應用程序時,務必注意異常的權限請求,並在前幾天監控應用程序的電池和網絡消耗統計數據,以識別任何可疑模式。
精彩推薦
留言列表