Escobar

Trojan perbankan Android Aberebot telah kembali dengan nama ‘Escobar’ dengan fitur-fitur baru, termasuk mencuri kode otentikasi multi-faktor Google Authenticator.

Fitur-fitur baru dalam versi Aberebot terbaru juga termasuk mengendalikan perangkat Android yang terinfeksi menggunakan VNC, merekam audio, dan mengambil foto, sementara juga memperluas kumpulan aplikasi yang ditargetkan untuk pencurian kredensial.

Tujuan utama dari trojan adalah untuk mencuri informasi yang cukup untuk memungkinkan pelaku ancaman untuk mengambil alih rekening bank korban, menyedot saldo yang tersedia, dan melakukan transaksi yang tidak sah.

Menggunakan platform DARKBEAST intelijen siber KELA, menemukan posting forum di forum peretasan berbahasa Rusia dari Februari 2022 di mana pengembang Aberebot mempromosikan versi baru mereka dengan nama ‘Escobar Bot Android Banking Trojan.’

MalwareHunterTeam pertama kali melihat APK yang mencurigakan pada tanggal 3 Maret 2022, menyamar sebagai aplikasi McAfee, dan memperingatkan tentang sifat tersembunyinya terhadap sebagian besar mesin anti-virus.

Seperti kebanyakan trojan perbankan, Escobar menampilkan formulir login overlay untuk membajak interaksi pengguna dengan aplikasi dan situs web e-banking dan mencuri kredensial dari korban.

Malware ini juga mengemas beberapa fitur lain yang membuatnya kuat terhadap versi Android apa pun, bahkan jika injeksi overlay diblokir dengan cara tertentu.

Malware meminta 25 izin, 15 di antaranya disalahgunakan untuk tujuan jahat. Contohnya termasuk aksesibilitas, rekaman audio, membaca SMS, penyimpanan baca/tulis, dapatkan daftar akun, menonaktifkan kunci tombol, melakukan panggilan, dan mengakses lokasi perangkat yang tepat.

Semua yang dikumpulkan malware diunggah ke server C2, termasuk log panggilan SMS, log kunci, notifikasi, dan kode Google Authenticator.

Kode untuk merebut kode Google Authenticator (Cyble)

Hal di atas sudah cukup untuk membantu para penjahat mengatasi hambatan otentikasi dua faktor ketika mengambil kendali atas rekening e-banking.

Kode 2FA tiba melalui SMS atau disimpan dan diputar di alat berbasis perangkat lunak HMAC seperti Google’s Authenticator. Selain itu, penambahan VNC Viewer, utilitas berbagi layar lintas platform dengan fitur kendali jarak jauh, memberi pelaku ancaman senjata ampuh baru untuk melakukan apa pun yang mereka inginkan saat perangkat tidak dijaga.

Aberebot juga dapat merekam klip audio atau mengambil tangkapan layar dan mengekstrak keduanya ke C2 yang dikendalikan aktor, dengan daftar lengkap perintah yang didukung tercantum di bawah ini.

Tabel perintah yang diterima oleh Aberebot (Cyble)

Secara umum, Anda dapat meminimalkan kemungkinan terinfeksi trojan Android dengan menghindari pemasangan APK di luar Google Play, menggunakan alat keamanan seluler, dan memastikan bahwa Google Play Protect diaktifkan di perangkat Anda.

Selain itu, saat memasang aplikasi baru dari sumber mana pun, perhatikan permintaan izin yang tidak biasa dan pantau baterai aplikasi dan statistik konsumsi jaringan selama beberapa hari pertama untuk mengidentifikasi pola yang mencurigakan.

sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Escobar

Cookies Settings