Aberebot Banking Trojan

Cybleの研究者は、新しいバンキング型トロイの木馬株を分析しました。 Aberebotという名前の脅威の動作は、このタイプの他のマルウェアの動作と一致しています。攻撃者の目的は、被害者のAndroidデバイス上にAberebotを確立し、多数の特権を取得して、機密情報（主に銀行のクレデンシャル）を収集することです。この脅威は、18か国に広がる140を超える銀行の顧客に影響を与える可能性があります。

感染ベクトルとして、Aberebotはほとんどの場合、サードパーティのアプリケーションプラットフォームを介して配信されるフィッシングキャンペーンを利用しています。この脅威は、正規のGoogleChromeアプリケーションになりすますことも確認されています。

脅迫能力

武器化されたアプリケーションは、デバイス上で10個のアクセス許可を受け取るように要求します。これにより、許可された場合、さまざまな脅迫的なアクションを実行できるようになります。 Aberebotは、SMSを介して受信した着信OTP（ワンタイムパスワード）を傍受しながら、侵害されたユーザーの連絡先など、さまざまな種類の情報を収集できます。被害者の銀行のクレデンシャルを取得するために、Aberebotは、正規のアプリケーションページの上にWebViewを使用してフィッシングページを表示する一般的な方法を採用しています。さまざまなフィッシングページがGitHubリポジトリからフェッチされるため、脅威の全体的なフットプリントが大幅に削減されます。

Aberebotは、Android Accessibility Serviceを悪用して、他のさまざまな権限を有効にすることができます。アクセシビリティサービスでは、デバイスの画面を監視することで、脅威がユーザーのアクティビティをスパイすることもできます。安全でないアプリケーションの設定を変更するユーザーの機能を制限するために、同じ権限がさらに悪用されます。

Aberebotによって実行される正確なアクションは、C2（コマンドアンドコントロール）サーバーとの常時通信を介して制御されます。 C2インフラストラクチャは、Telegramボットアカウントでホストされています。