Alcuni ricercatori di sicurezza hanno scoperto un malware per Android con nome e icona simile all’app McAfee. Si tratta in realtà di una nuova variante del trojan bancario Aberebot, denominata Escobar. Il malware viene venduto online da cybercriminali russi al prezzo di 5.000 dollari al mese. Su un forum del dark web sono elencate tutte le funzionalità.
Escobar è un trojan bancario per Android
Nell’annuncio viene specificato che quello è il prezzo della versione finale. Escobar è attualmente in versione beta, quindi l’abbonamento può essere sottoscritto a 3.000 dollari al mese, ma solo per un massimo di cinque clienti. È comunque possibile testarlo per tre giorni ed eventualmente chiedere il rimborso. Come detto, le ignare vittime non si accorgono della sua presenza perché viene mostrata l’icona di McAfee.
Teoricamente sarebbe sufficiente leggere il lungo elenco di permessi (25) per evitare la sua installazione, ma molti utenti sono piuttosto distratti. In maniera simile ad altri trojan bancari, Escobar mostra una pagina di login che sembra quella ufficiale. Invece la vittima consegna le proprie credenziali ai cybercriminali. L’ultima versione può rubare i dati di accesso ai servizi bancari di 190 istituzioni finanziarie di 18 paesi.
Escobar può raccogliere numerosi dati sensibili, tra cui SMS, cronologia delle chiamate e rubrica (numeri di telefono e indirizzi email). Il malware è anche in grado di registrare audio con il microfono dello smartphone, scattare foto, cancellare le app, scoprire la posizione geografica dell’utente e leggere i codici inviati via SMS da Google Authenticator. Viene inoltre installato VNC Viewer che consente di controllare il dispositivo da remoto. Tutti i dati vengono inviati ad un server C&C (command and control).
Questo tipo di malware viene distribuito da fonti esterne al Google Play Store, quindi è sempre sconsigliata l’installazione di file APK sconosciuti. Gli utenti devono inoltre attivare la funzionalità Google Play Protect e utilizzare una soluzione di sicurezza.