De ‘Escobar’ banking trojan wordt voor 2.750 euro per maand verhuurd op het dark web. Cybercriminelen professionaliseren met verdienmodellen, marketing en infrastructuur. De malware is in staat om Google Authenticator-codes te stelen.

De ‘Escobar’ banking trojan wordt door een of meerdere cybercriminelen verspreid onder vermomming van legitieme Android apps. Op 3 maart vond securityonderzoeker MalwareHunterTeam de trojan in de praktijk. ‘Escobar’ deed zich voor als McAfee app, maar probeert in werkelijkheid de bankgegevens van geïnfecteerde devices af te tappen.

De trojan dook nergens anders op. Vandaar is de verspreiding waarschijnlijk tot een minimum beperkt. Desalniettemin wijst het incident op een trend.

Malware-as-a-service

Securitywebsite BleepingComputer vond een advertentie voor ‘Escobar’ op het dark web. Een Russischtalige aanbieder verhuurt de trojan sinds eind februari voor 2.750 euro per maand. Geïnteresseerden mogen de trojan drie dagen uitproberen. Ontevreden klanten krijgen hun geld terug. ‘Escobar’ is meer dan een trojan: ‘Escobar’ is een dienst.

Op de ransomwaremarkt vind je hetzelfde fenomeen. Malware wordt door ransomware-as-a-service-groepen ontwikkeld, aangeboden en uitgerold. Cybercriminelen gaan verder dan de verkoop van code: infrastructuur en support zijn inbegrepen.

Voor de verspreider(s) van ‘Escobar’ geldt niet anders. De dienst ontzorgt bijna alles. Inloggegevens, Sms-berichten, belgeschiedenis en 2FA-codes worden verzameld. Vervolgens verstuurt ‘Escobar’ de data naar een C2 server. Gegevens liggen klaar voor misbruik.

Aberebot

Securityonderzoeker Cyble analyseerde ‘Escobar’. Cyble concludeert dat de trojan door dezelfde auteur(s) als ‘Aberebot’ is ontwikkeld, een banking trojan die in 2021 aan het licht kwam. Cyble beschouwt ‘Escobar’ als update van ‘Aberebot’. De trojans werken vergelijkbaar, maar ‘Escobar’ is in tegenstelling tot Aberebot’ in staat om meer dan 100 moderne bankomgevingen in 18 landen na te bootsen.

Preventie

Zoals eerdergenoemd is de verspreiding van ‘Escobar’ waarschijnlijk beperkt. Er is (nog) geen aanleiding om alle Android devices van jouw organisatie halsoverkop te wipen. Voorzorg is echter altijd aangeraden. Stel policies in om alle appbestanden buiten officiële appstores te verbieden. Houd rekening met het feit dat trojans in sommige gevallen op officiële appstores worden aangeboden. Het verbieden van alle niet-noodzakelijke apps is de meest preventieve maatregel, maar kan ten koste gaan van productiviteit.