عادت برمجية Aberebot المصممة لسرقة المعلومات المصرفية من أجهزة الأندرويد بميزات أقوى، بما في ذلك سرقة رموز المصادقة متعددة العوامل من Google Authenticator، وأطلق المبرمج الروسي على النسخة الجديدة اسم زعيم مافيا المخدرات الكولومبي إسكوبار.
تشمل الميزات الجديدة في Escobar Bot أيضًا التحكم في أجهزة أندرويد المصابة وتسجيل الصوت والتقاط الصور، مع توسيع مجموعة التطبيقات المستهدفة لسرقة بيانات الاعتماد، وقام المبرمج بتوسيع مجموعة البنوك والمؤسسات المالية المستهدفة إلى 190 كيان مصرفي كبير من 18 دولة في الإصدار الأخير.
اكتشف برنامج MalwareHunterTeam ملف APK المشبوه لأول مرة في 3 مارس 2022، متنكرا في هيئة تطبيق مضاد الفيروسات الشهير McAfee، وحذر من إمكانية تخفيه ضد الغالبية العظمى من مكافحات الفيروسات.
يسرق برنامج Escobar من برامج Android الضارة رموز Google Authenticator MFA
عاد حصان طروادة Aberebot Android Banking تحت اسم "Escobar" بميزات جديدة، بما في ذلك سرقة رموز المصادقة متعددة العوامل في Google Authenticator.
تشمل الميزات الجديدة في أحدث إصدار من Aberebot أيضًا التحكم في أجهزة Android المصابة باستخدام VNC وتسجيل الصوت والتقاط الصور، مع توسيع مجموعة التطبيقات المستهدفة لسرقة بيانات الاعتماد.
الهدف الرئيسي من حصان طروادة هو سرقة معلومات كافية للسماح للجهات الفاعلة بالتهديد بالاستيلاء على الحسابات المصرفية للضحايا، وسحب الأرصدة المتاحة، وإجراء المعاملات غير المصرح بها.
أعيدت تسميتها باسم إسكوبار
باستخدام منصة DARKBEAST للذكاء الإلكتروني من KELA، عثر BleepingComputer على مشاركة في المنتدى على منتدى القرصنة الناطق باللغة الروسية اعتبارًا من فبراير 2022 حيث يروج مطور Aberebot لنسخته الجديدة تحت اسم "Escobar Bot Android Banking Trojan" .
يقوم مؤلف البرنامج الضار بتأجير النسخة التجريبية من البرنامج الضار مقابل 3000 دولار شهريًا لخمسة عملاء كحد أقصى، مع وجود جهات تهديد لديها القدرة على اختبار الروبوت مجانًا لمدة ثلاثة أيام.
يخطط ممثل التهديد لرفع سعر البرنامج الضار إلى 5000 دولار بعد انتهاء التطوير.
اكتشف برنامج MalwareHunterTeam ملف APK المشبوه لأول مرة في 3 مارس 2022، متنكرا في شكل أحد تطبيقات McAfee، وحذر من قدرته على التخفي ضد الغالبية العظمى من محركات مكافحة الفيروسات.تم اختيار هذا من قبل الباحثين في Cyble، الذين أجروا تحليلاً لمتغير "Escobar" الجديد من Aberebot trojan.
وفقًا لنفس المحللين، ظهر Aberebot لأول مرة في البرية في صيف عام 2021، لذا فإن ظهور نسخة جديدة يشير إلى تطور نشط.
القدرات القديمة والجديدة
مثل معظم أحصنة طروادة المصرفية، يعرض Escobar نماذج تسجيل دخول متراكبة لاختطاف تفاعلات المستخدم مع تطبيقات ومواقع الخدمات المصرفية الإلكترونية وسرقة بيانات الاعتماد من الضحايا.
تحتوي البرامج الضارة أيضًا على العديد من الميزات الأخرى التي تجعلها فعالة ضد أي إصدار من إصدارات Android، حتى إذا تم حظر حقن التراكب بطريقة ما.
قام المؤلفون بتوسيع مجموعة البنوك والمؤسسات المالية المستهدفة إلى 190 كيانًا ضخمًا من 18 دولة في الإصدار الأخير.
تطلب البرامج الضارة 25 إذنًا، يتم إساءة استخدام 15 منها لأغراض ضارة. تشمل الأمثلة إمكانية الوصول، والتسجيل الصوتي، وقراءة الرسائل القصيرة، وتخزين القراءة / الكتابة، والحصول على قائمة الحسابات، وتعطيل قفل المفاتيح، وإجراء المكالمات، والوصول إلى الموقع الدقيق للجهاز.
يتم تحميل كل ما تجمعه البرامج الضارة إلى خادم C2، بما في ذلك سجلات مكالمات SMS، وسجلات المفاتيح، والإشعارات، وأكواد Google Authenticator.
ما سبق كافٍ لمساعدة المحتالين على التغلب على عقبات المصادقة ذات العاملين عند تولي السيطرة على الحسابات المصرفية الإلكترونية.
تصل رموز 2FA عبر الرسائل القصيرة أو يتم تخزينها وتدويرها في أدوات قائمة على برامج HMAC مثل Google's Authenticator. يعتبر الأخير أكثر أمانًا نظرًا لعدم تعرضه لهجمات مبادلة بطاقة SIM، لكنه لا يزال غير محمي من البرامج الضارة التي تتسلل إلى مساحة المستخدمين.
علاوة على ذلك، فإن إضافة VNC Viewer، وهي أداة مشاركة للشاشة عبر الأنظمة الأساسية مع ميزات التحكم عن بعد، تمنح الجهات الفاعلة في التهديد سلاحًا قويًا جديدًا للقيام بكل ما يريدون عندما يكون الجهاز غير مراقب.
بصرف النظر عما سبق، يمكن لـ Aberebot أيضًا تسجيل مقاطع صوتية أو التقاط لقطات شاشة والتسلل إلى كل من C2 التي يتحكم فيها الممثل، مع القائمة الكاملة للأوامر المدعومة المدرجة أدناه.
لا يزال من المبكر معرفة مدى شعبية برنامج Escobar الضار الجديد في مجتمع الجرائم الإلكترونية، خاصة بسعر مرتفع نسبيًا. ومع ذلك، فهي الآن قوية بما يكفي لجذب جمهور أوسع.
كما أن نموذجها التشغيلي، الذي يتضمن جهات فاعلة عشوائية يمكنها تأجيره، يعني أن قنوات التوزيع وطرقه قد تختلف اختلافًا كبيرًا.
بشكل عام، يمكنك تقليل فرص الإصابة بأحصنة طروادة Android عن طريق تجنب تثبيت ملفات APK خارج Google Play، باستخدام أداة أمان للجوال، والتأكد من تمكين Google Play Protect على جهازك.
بالإضافة إلى ذلك، عند تثبيت تطبيق جديد من أي مصدر، انتبه إلى الطلبات غير العادية للحصول على أذونات وراقب إحصائيات استهلاك البطارية والشبكة للتطبيق في الأيام القليلة الأولى لتحديد أي أنماط مشبوهة.
المصدر: هكر نيوز بالعربية & bleepingcomputer