繼著名僵尸網(wǎng)絡(luò)Emotet在近期卷土從來，另一安卓銀行木馬Aberebot也有抬頭之勢。據(jù)Bleeping Computer網(wǎng)站消息，Aberebot正化身“Escobar”的名義重返，并迭代了新功能，包括竊取 Google Authenticator 多因素身份驗證代碼。

今年2月，Bleeping Computer在一個俄語黑客論壇上發(fā)現(xiàn)，Aberebot 開發(fā)人員以“Escobar Bot Android Banking Trojan”的名義宣傳他們的新版本惡意軟件。開發(fā)人員以每月 3000 美元的價格向最多 5 名客戶租用該惡意軟件的測試版，這些客戶可在3天內(nèi)對新版本軟件進行測試，開發(fā)人員計劃在研發(fā)完成后將惡意軟件的價格提高到 5000 美元。

賣家在黑客論壇上的宣傳帖

安全研究團隊MalwareHunterTeam于3月3日發(fā)現(xiàn)了基于Escobar偽裝成McAfee 應(yīng)用程序的可疑APK，并警告其對絕大多數(shù)反病毒引擎具有隱蔽性。

與大多數(shù)銀行木馬一樣，Escobar通過覆蓋登錄表單以劫持用戶與電子銀行應(yīng)用程序和網(wǎng)站的交互，并從受害者那里竊取賬戶憑證。該惡意軟件還包含其他幾個功能，使其對任何 Android 版本都有效，即使覆蓋注入被某種方式阻止。

該惡意軟件會向設(shè)備請求25個權(quán)限，其中有15個被用于惡意目的，包括可訪問性、音頻記錄、讀取 SMS、讀/寫存儲、獲取帳戶列表、禁用鍵鎖、撥打電話和訪問精確的設(shè)備位置。惡意軟件會將收集的所有內(nèi)容上傳到 C2 服務(wù)器，包括 SMS 通話日志、關(guān)鍵日志、通知和 Google Authenticator 代碼。

獲取Google Authenticator 代碼

雙重身份驗證碼通過 SMS 送達，或者存儲在基于 HMAC 軟件的工具(如 Google Authenticator)中并進行輪換。后者由于不易受到 SIM 交換攻擊而被認為更安全，但仍無法防止惡意軟件侵入用戶空間。

此外，攻擊者還利用VNC Viewer這種遠程控制功能的跨平臺屏幕共享實用程序，對用戶設(shè)備進行全程操控。

VNC 查看器代碼

除了上述之外，Aberebot 還可以錄制音頻或截取屏幕截圖，并將兩者都發(fā)送到攻擊者控制的 C2。

現(xiàn)在判斷新的 Escobar 在網(wǎng)絡(luò)犯罪社區(qū)中的流行程度還為時過早，尤其是在價格相對較高的情況下。盡管如此，它現(xiàn)在已經(jīng)足夠強大，可以吸引更廣泛的威脅參與者。

通常，用戶可以通過避免在 Google Play 之外安裝 APK、使用移動安全工具并確保在設(shè)備上啟用 Google Play Protect 來最大程度地減少感染 Android 惡意軟件的機會。此外，從任何來源安裝新應(yīng)用程序時，務(wù)必注意異常的權(quán)限請求，并在前幾天監(jiān)控應(yīng)用程序的電池和網(wǎng)絡(luò)消耗統(tǒng)計數(shù)據(jù)，以識別任何可疑模式。

參考來源：https://www.bleepingcomputer.com/news/security/android-malware-escobar-steals-your-google-authenticator-mfa-codes/