继最近著名的僵尸网络Emotet卷土重来之后,另一个Android银行木马Aberebot也在崛起。据BleepingComputer网站称,Aberebot以“Escobar”的身份回归并迭代新功能,包括窃取GoogleAuthenticator多重身份验证代码。2月,BleepingComputer在一个俄语黑客论坛上发现,Aberebot开发人员正在推广名为“EscobarBotAndroidBankingTrojan”的新版恶意软件。开发人员以每月3,000美元的价格向最多5位客户租用恶意软件的测试版本。这些客户可以在3天内测试新版本的软件。开发商计划在开发完成后将恶意软件的价格提高到5000美元。美元。卖家在黑客论坛上的宣传帖。安全研究团队MalwareHunterTeam在3月3日发现了一个基于Escobar伪装成迈克菲应用程序的可疑APK,并警告说它对大多数反病毒引擎都是隐藏的。与大多数银行木马一样,Escobar通过覆盖登录表单并窃取受害者的帐户凭据来劫持用户与电子银行应用程序和网站的交互。该恶意软件还包含其他几个功能,即使覆盖注入被某种方式阻止,它也能有效对抗任何Android版本。该恶意软件向设备请求25项权限,其中15项用于恶意目的,包括可访问性、录音、读取短信、读取/写入存储、获取帐户列表、禁用键锁、拨打电话和访问精确设备位置。恶意软件将收集到的所有内容上传到C2服务器,包括SMS调用日志、关键日志、通知和Google身份验证器代码。获取GoogleAuthenticator代码双因素身份验证代码通过SMS传送,或存储在基于HMAC软件的工具(例如GoogleAuthenticator)中并轮换使用。后者被认为更安全,因为它不易受到SIM卡交换攻击,但仍不能防止恶意软件入侵用户空间。此外,攻击者还使用了具有远程控制功能的跨平台屏幕共享实用程序VNCViewer来完全控制用户的设备。VNC查看器代码除了上述之外,Aberebot还可以录制音频或截取屏幕截图并将两者发送到攻击者控制的C2。现在判断新的Escobar在网络犯罪社区中的受欢迎程度还为时过早,尤其是考虑到相对较高的价格标签。尽管如此,它现在已经足够强大,可以吸引更广泛的威胁行为者。一般来说,用户可以通过避免在GooglePlay之外安装APK、使用移动安全工具并确保在设备上启用GooglePlayProtect来最大限度地降低感染Android恶意软件的机会。此外,从任何来源安装新应用程序时,一定要注意异常的权限请求,并在前几天监控应用程序的电池和网络消耗统计数据,以识别任何可疑模式。参考来源:https://www.bleepingcomputer.com/news/security/android-malware-escobar-steals-your-google-authenticator-mfa-codes/
