Aberebot Android银行木马以"Escobar"的名义重新回归，并更新功能，包括窃取Google Authenticator多因素身份验证代码。

最新Aberebot版本中的新功能还包括使用VNC控制受感染的Android设备，录制音频和拍照，同时还扩展了用于凭据盗窃的目标应用程序集。

该特洛伊木马的主要目标是窃取足够的信息，以允许威胁行为者接管受害者的银行帐户，虹吸可用余额并执行未经授权的交易。

使用KELA的网络情报DARKBEAST平台，从2022年2月开始在一个讲俄语的黑客论坛上发现了一个论坛帖子，其中Aberebot开发人员以"Escobar Bot Android Banking Trojan"的名义推广他们的新版本。

恶意软件作者以每月3，000美元的价格将恶意软件的测试版出租给最多五名客户，威胁行为者可以免费测试机器人三天。

威胁行为者计划在开发完成后将恶意软件的价格提高到5，000美元。

MalwareHunterTeam于2022年3月3日首次发现可疑的APK，伪装成McAfee应用程序，并警告其对绝大多数防病毒引擎的隐身性。

Cyble的研究人员发现了这一点，他们对Aberebot木马的新"Escobar"变体进行了分析。

根据同一位分析师的说法，Aberebot于2021年夏天首次出现在野外，因此新版本的出现表明了活跃的开发。

新旧功能

与大多数银行木马一样，Escobar显示覆盖登录表单以劫持用户与电子银行应用程序和网站的交互，并从受害者那里窃取凭据。

该恶意软件还包含其他一些功能，使其对任何Android版本都有效，即使以某种方式阻止了覆盖注入。

在最新版本中，作者将目标银行和金融机构的范围扩大到来自18个国家的190个实体。

该恶意软件请求25个权限，其中15个被滥用于恶意目的。示例包括辅助功能、录音、读取短信、读/写存储、获取帐户列表、禁用钥匙锁、拨打电话以及访问精确的设备位置。

恶意软件收集的所有内容都会上传到C2服务器，包括短信通话记录，密钥日志，通知和Google身份验证器代码。

上述内容足以帮助*子骗**在控制电子银行账户时克服双因素身份验证障碍。

2FA代码通过短信到达或存储在基于HMAC软件的工具中，如Google的身份验证器。由于不容易受到SIM卡交换攻击，后者被认为更安全，但它仍然无法防止恶意软件渗透到用户空间。

此外，VNC Viewer的添加，一个具有远程控制功能的跨平台屏幕共享实用程序，为威胁行为者提供了一种新的强大*器武**，可以在设备无人值守时做任何他们想做的事情。

除上述内容外，Aberebot还可以录制音频剪辑或截取屏幕截图，并将两者都泄露给黑客控制的C2，下面列出了支持命令的完整列表。