Malware Android Escobar rouba códigos MFA do Google Authenticator

Conheça o Malware Android Escobar, que rouba códigos MFA do Google Authenticator. Confira os detalhes dessa nova ameaça.

O trojan bancário Aberebot Android retornou com o nome ‘Escobar’ com novos recursos, incluindo o roubo de códigos de autenticação multifator do Google Authenticator.

Malware Android Escobar rouba códigos MFA do Google Authenticator

Malware Android Escobar rouba códigos MFA do Google Authenticator
Malware Android Escobar rouba códigos MFA do Google Authenticator

Os novos recursos da versão mais recente do Aberebot também incluem controlar os dispositivos Android infectados usando VNC, gravar áudio e tirar fotos, além de expandir o conjunto de aplicativos direcionados para roubo de credenciais.

O principal objetivo do trojan é roubar informações suficientes para permitir que os agentes da ameaça assumam as contas bancárias das vítimas, extraiam os saldos disponíveis e realizem transações não autorizadas.

Usando a plataforma de inteligência cibernética DARKBEAST da KELA, o site BleepingComputer encontrou uma postagem em um fórum de hackers de língua russa de fevereiro de 2022, onde o desenvolvedor do Aberebot promove sua nova versão sob o nome ‘Escobar Bot Android Banking Trojan’.

Malware Android Escobar rouba códigos MFA do Google Authenticator
Malware Android Escobar rouba códigos MFA do Google Authenticator – Postagem do vendedor em um fórum da darknet (KELA)

O autor do malware está alugando a versão beta do malware por US$ 3.000 por mês para um máximo de cinco clientes, com os agentes de ameaças podendo testar o bot gratuitamente por três dias.

O agente da ameaça planeja aumentar o preço do malware para US$ 5.000 após a conclusão do desenvolvimento.

O MalwareHunterTeam detectou pela primeira vez o APK suspeito em 3 de março de 2022, disfarçado de aplicativo da McAfee, e alertou sobre sua furtividade contra a grande maioria dos mecanismos antivírus.


Isso foi captado por pesquisadores da Cyble, que realizaram uma análise da nova variante ‘Escobar’ do trojan Aberebot.

De acordo com os mesmos analistas, o Aberebot apareceu pela primeira vez na natureza no verão de 2021, portanto, o aparecimento de uma nova versão indica um desenvolvimento ativo.

Como a maioria dos trojans bancários, o Escobar exibe formulários de login sobrepostos para sequestrar as interações do usuário com aplicativos e sites de e-banking e roubar credenciais das vítimas.

O malware também inclui vários outros recursos que o tornam potente contra qualquer versão do Android, mesmo que as injeções de sobreposição sejam bloqueadas de alguma maneira.

Os autores expandiram o conjunto de bancos e instituições financeiras direcionados para 190 entidades de 18 países na versão mais recente.

O malware solicita 25 permissões, das quais 15 são abusadas para fins maliciosos. Os exemplos incluem acessibilidade, gravação de áudio, leitura de SMS, armazenamento de leitura/gravação, obtenção da lista de contas, desativação do bloqueio de teclas, realização de chamadas e acesso à localização precisa do dispositivo.

Tudo o que o malware coleta é carregado no servidor C2, incluindo logs de chamadas SMS, logs de chaves, notificações e códigos do Google Authenticator.

Malware Android Escobar rouba códigos MFA do Google Authenticator
Malware Android Escobar rouba códigos MFA do Google Authenticator – Código para capturar códigos do Google Authenticator (Cyble)

O acima é suficiente para ajudar os criminosos a superar os obstáculos de autenticação de dois fatores ao assumir o controle de contas bancárias eletrônicas.

Os códigos 2FA chegam via SMS ou são armazenados e girados em ferramentas baseadas em software HMAC, como o Authenticator do Google.

Este último é considerado mais seguro por não ser suscetível a ataques de troca de SIM, mas ainda não está protegido contra malware que se infiltra no espaço do usuário.

Além disso, a adição do VNC Viewer, um utilitário de compartilhamento de tela multiplataforma com recursos de controle remoto, oferece aos agentes de ameaças uma nova arma poderosa para fazer o que quiserem quando o dispositivo estiver desacompanhado.

Código VNC Viewer em Aberebot
Malware Android Escobar rouba códigos MFA do Google Authenticator – Código VNC Viewer em Aberebot (Cyble)

Além do acima, o Aberebot também pode gravar clipes de áudio ou fazer capturas de tela e exfiltrar ambos para o C2 controlado por ator, com a lista completa de comandos suportados listados abaixo.
Tabela de comandos aceitos pelo Aberebot
Malware Android Escobar rouba códigos MFA do Google Authenticator – Tabela de comandos aceitos pelo Aberebot (Cyble)

Ainda é cedo para dizer o quão popular o novo malware Escobar se tornará na comunidade de crimes cibernéticos, especialmente por um preço relativamente alto. No entanto, agora é poderoso o suficiente para atrair um público mais amplo.

Além disso, seu modelo operacional, que envolve atores aleatórios que podem alugá-lo, significa que seus canais e métodos de distribuição podem variar muito.

Em geral, você pode minimizar as chances de ser infectado por trojans do Android evitando a instalação de APKs fora do Google Play, usando uma ferramenta de segurança móvel e garantindo que o Google Play Protect esteja ativado em seu dispositivo.

Além disso, ao instalar um novo aplicativo de qualquer fonte, preste atenção a solicitações incomuns de permissões e monitore as estatísticas de consumo de bateria e rede do aplicativo nos primeiros dias para identificar quaisquer padrões suspeitos.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.