Aberebot Banking Trojan

Description de Aberebot Banking Trojan

Une nouvelle souche de cheval de Troie bancaire a été analysée par les chercheurs de Cyble. Nommé Aberebot, le comportement de la menace est cohérent avec celui d'autres logiciels malveillants de ce type. L'objectif des attaquants est d'établir l'Aberebot sur l'appareil Android de la victime, d'obtenir de nombreux privilèges, puis de collecter des informations sensibles, principalement des identifiants bancaires. La menace est capable d'affecter les clients de plus de 140 banques réparties dans 18 pays.

En tant que vecteur d'infection, Aberebot utilise principalement des campagnes de phishing diffusées via des plateformes d'applications tierces. Il a également été observé que la menace se déguise en application légitime de Google Chrome.

Capacités menaçantes

L'application militarisée demande à recevoir 10 autorisations sur l'appareil qui, si elles sont accordées, lui permettront d'effectuer diverses actions menaçantes. Aberebot peut collecter divers types d'informations, telles que les contacts de l'utilisateur compromis tout en interceptant tout OTP (mots de passe à usage unique) entrant reçu par SMS. Pour obtenir les informations d'identification bancaires de la victime, Aberebot utilise la méthode typique d'affichage d'une page de phishing à l'aide de WebView au-dessus de la page d'application légitime. Les différentes pages de phishing sont récupérées à partir d'un référentiel GitHub, ce qui réduit considérablement l'empreinte globale de la menace.

Aberebot est capable d'abuser du service d'accessibilité Android pour activer diverses autres autorisations pour lui-même. Le service d'accessibilité permet également à la menace d'espionner l'activité de l'utilisateur en surveillant l'écran de l'appareil. La même autorisation est encore exploitée pour restreindre la capacité de l'utilisateur à modifier les paramètres de l'application non sécurisée.

Les actions exactes effectuées par Aberebot sont contrôlées via une communication constante avec un serveur C2 (Command-and-Control). L'infrastructure C2 est hébergée sur un compte de bot Telegram.