Bankový trójsky kôň Aberebot sa vrátil na scénu v novom kabáte. Získal ďalšie zákerné funkcie a premenoval sa na „Escobar“. Asi netreba uvádzať, že vzorom tohto pomenovania je niekdajší kolumbijský drogový barón, ktorý zomrel pred takmer 30 rokmi.
Škodlivý kód Escobar dokáže prevziať plnú kontrolu nad infikovaným zariadením, nahrávať zvuk, fotografovať, zbierať informácie o presnej polohe cez GPS a veľa ďalšieho. Celkovo si pýta až 25 povolení na prístup k súčastiam operačného systému.
Hlavným cieľom malvéru je však krádež prihlasovacích údajov a ďalších informácií z bankových aplikácií a digitálnych peňaženiek. Aktéri hrozby tak môžu v účtoch neobozretných používateľov vykonávať neautorizované transakcie. Inými slovami, ukradnú im peniaze.
Šíri sa po celom svete
Malvér je pomerne silný, dokáže sa efektívne ukrývať a nájsť si cestu k aplikáciám viac ako 190 finančných inštitúcií. Okrem iného vie prečítať overovacie kódy z SMS správ a viacfaktorovej autentifikácie aplikácie Google Authenticator.
Server Bleeping Computer našiel zmienku o novej verzii tohto škodlivého kódu na ruskom hackerskom fóre, kde ho vývojár pôvodného malvéru Aberebot ponúkal na prenájom za 3000 dolárov mesačne.
Vybraní záujemcovia pritom mohli malvér najskôr testovať tri dni zadarmo. Ponuka z februára tohto roka sa týkala beta verzie malvéru. Lízing finálnej verzie škodlivého kódu má byť drahší – 5000 dolárov mesačne.
Netrvalo dlho, kým si podozrivý APK súbor s malvérom Escobar niekto všimol. 3. marca naň ako prvý upozornil Malware Hunter Team. Našiel ho v aplikácii, ktorá sa na prvý pohľad tvárila ako antivírusový program McAfee. Malou útechou je, že aplikácia nebola distribuovaná prostredníctvom štandardnej cesty, teda obchodu Google Play Store.
Malvér Escobar je relatívne drahý, zatiaľ ťažko predpokladať, ako veľmi sa v komunite kybernetických kriminálnikov uchytí. Jeho dômyselná funkcionalita však môže byť pre útočníkov zaujímavá. Keďže si ho môže prenajať ktokoľvek, spôsob a metódy jeho distribúcie sa môžu líšiť.
Chrániť sa nie je ťažké
Rovnako ako pri iných hrozbách, aj tu je najdôležitejšia prevencia. Je vhodné vyhýbať sa inštalácii aplikácií z neznámych zdrojov. Aj keď nie je zabezpečenie obchodu Goolge Play dokonalé, služba Play Protect stále predstavuje efektívny filter škodlivých aplikácií.
Pri inštalácii menej známych aplikácií je na mieste venovať pozornosť recenziám, hlavne tým negatívnym, ako aj oprávneniam, ktoré aplikácia požaduje. Napríklad, na oko nevinná apka LED baterky nepotrebuje pristupovať k multimediálnym súborom, mikrofónu alebo trebárs k zoznamu uskutočnených hovorov a SMS správ.