Escobar Android Malware

Le malware Escobar Android est un puissant cheval de Troie bancaire doté d'un ensemble important de fonctionnalités et de capacités intrusives et menaçantes. De plus, la menace continue de faire l'objet d'un développement actif et pourrait devenir encore plus envahissante à l'avenir. Il convient de noter qu'Escobar n'est pas une souche de malware entièrement nouvelle. En fait, il semble s'agir d'un changement de marque d'un cheval de Troie bancaire mobile précédemment identifié, connu sous le nom d' Aberebot. Il semble qu'après avoir étendu les fonctionnalités d'Aberebotde manière significative, les développeurs de la menace ont décidé de la renommer.

Toujours en développement

Les premiers signes du logiciel malveillant Escobar Android remontent à un message sur un forum de hackers russophone de février 2022. Le message précisait qu'Escobar est considéré dans la phase BETA de développement. En tant que tel, ses créateurs étaient prêts à fournir à 5 clients un accès à l'outil menaçant pour 3 000 $ par mois. Les candidats allaient également pouvoir tester gratuitement le cheval de Troie pendant trois jours. Lors de la publication complète de la menace, le prix serait augmenté jusqu'à 5 000 $ par mois. Un mois plus tard, en mars 2022, des chercheurs en sécurité ont découvert que la menace Escobar se présentait comme une application McAfee.

Liste croissante de fonctions

Le cheval de Troie bancaire Escobar utilise des formulaires de connexion superposés pour capturer toutes les interactions de l'utilisateur avec une application bancaire sélectionnéelications et sites Web et recueillir les informations d'identification de la victime. Jusqu'à présent, le logiciel malveillant est capable de cibler 190 entités financières différentes réparties dans 18 pays. De plus, en demandant un total de 25 autorisations, Escobar peut effectuer de nombreuses autres actions nuisibles sur les appareils piratés.

La menace est capable de lire des SMS, d'enregistrer de l'audio, de prendre des captures d'écran arbitraires, de passer des appels, d'accéder à la géolocalisation de l'appareil, de collecter des journaux d'appels, des journaux de clés, des notifications et même des codes Google Authenticator utilisés dans 2FA (authentification à deux facteurs) par de nombreux prestations de service. Toutes les informations collectées sont ensuite exfiltrées vers le serveur Command-and-Control (C2, C&C) de l'opération. Les développeurs du logiciel malveillant Escobar Android abusent de la visionneuse VNC, un utilitaire de partage d'écran multiplateforme, pour étendre davantage leur portée et les actions qu'ils peuvent effectuer sur l'appareil compromis.