Aberebot Banking Trojan

Los investigadores de Cyble analizaron una nueva cepa de troyano bancario. Con el nombre de Aberebot, el comportamiento de las amenazas es coherente con el de otros programas maliciosos de este tipo. El objetivo de los atacantes es establecer Aberebot en el dispositivo Android de la víctima, obtener numerosos privilegios y luego recopilar información confidencial, principalmente credenciales bancarias. La amenaza puede afectar a clientes de más de 140 bancos repartidos en 18 países.

Como vector de infección, Aberebot probablemente utiliza campañas de phishing entregadas a través de plataformas de aplicaciones de terceros. También se ha observado que la amenaza se disfraza como la aplicación legítima de Google Chrome.

Capacidades amenazantes

La aplicación armada solicita recibir 10 permisos en el dispositivo que, si se otorgan, le permitirán realizar varias acciones amenazantes. Aberebot puede recopilar varios tipos de información, como los contactos del usuario comprometido mientras intercepta cualquier OTP (contraseña de un solo uso) entrante recibida a través de SMS. Para obtener las credenciales bancarias de la víctima, Aberebot emplea el método típico de mostrar una página de phishing usando WebView en la parte superior de la página de la aplicación legítima. Las diferentes páginas de phishing se obtienen de un repositorio de GitHub, lo que reduce drásticamente la huella general de la amenaza.

Aberebot es capaz de abusar del servicio de accesibilidad de Android para habilitar varios otros permisos para sí mismo. El Servicio de Accesibilidad también permite que la amenaza espíe la actividad del usuario al monitorear la pantalla del dispositivo. El mismo permiso se explota aún más para restringir la capacidad del usuario de modificar la configuración de la aplicación insegura.

Las acciones exactas realizadas por Aberebot se controlan a través de una comunicación constante con un servidor C2 (Command-and-Control). La infraestructura C2 está alojada en una cuenta de bot de Telegram.