Il signore della droga colombiano Pablo Escobar è morto nel 1993, ma anche adesso, a quasi 30 anni dalla sua scomparsa, il suo nome rimane accostato al crimine e precisamente quello informatico. Il nome Escobar è tornato ed è collegato ad una forma insidiosa di malware che può prendere il controllo del telefono e anche rubare i codici di autenticazione a più fattori (MFA) generati dall’app Authenticator di Google.
Il malware Escobar Android non è tutto nuovo. Si tratta di una versione rivisitata del più vecchio trojan bancario Aberebot Android e ciò significa che qualcuno ha preso Aberebot e gli vi ha implementato nuove capacità. Oltre a prendere i codici MFA, Escobar può anche prendere “il controllo dei dispositivi Android infetti utilizzando VNC, registrando l’audio e scattando foto, espandendo anche il set di app mirate per il furto di credenziali“.
Le funzioni di base del malware non sono molto diverse da quelle di molti altri programmi maligni. Una volta che si trova installato sul dispositivo, esegue una procedura di overlay, che mostra finte schermate di accesso al fine di attirare gli incauti a dare via le credenziali per una serie di fonti di denaro come app bancarie o portafogli di criptovalute.
Escobar è un software molto “potente”, perché può anche trovare il modo di aggirare gli overlay bloccati per colpire un enorme elenco di 190 istituzioni finanziarie.
Richiederà anche numerosi permessi dal telefono infetto, che, se concessi, permetteranno a Escobar di fare fondamentalmente tutto ciò che vuole. Sfrutta le funzioni di accessibilità per prendere i codici MFA, leggere i messaggi e persino individuare la posizione tramite GPS.
Il malware invia poi tutti questi dati ai server di comando e controllo del suo operatore, permettendo ai cyberattaccanti di scatenarsi con qualsiasi cosa. Fortunatamente Escobar presenta ancora alcuni limiti al momento, compreso il fatto che costa alcune migliaia di dollari e non è accessibile a tutti coloro che vogliono sfruttarlo come RaaS, ma, essendo versatile, può trovare molti modi per entrare in un dispositivo: dai messaggi SMS di phishing alle app dall’aspetto innocente sul Play Store.
