Cerberus: Leasing av banksjukvaror för den nya androiden visas

Efter att flera populära Android-trojaner, som Anubis, Red Alert 2.0, GM-bot och Exobot, gick ur sin malware-as-a-service-verksamhet, dyker upp nya internetspelare med samma förmåga att fylla i luckorna och erbjuda bottenuthyrningstjänster för Android till massorna. .

Smeknamn “Cerberus“Den nya Trojan för fjärråtkomst tillåter fjärrattackare att ta full kontroll över infekterade Android-enheter och är också utrustade med Trojan-bankfunktioner, såsom användning av overlayattacker, SMS-kontroll och samling av kontaktlistor.

Enligt författaren till denna skadliga programvara, som är förvånansvärt social Twitter och öppet hånar säkerhetsforskare och antivirusindustrin, krypterades Cerberus från början och återanvände inte någon kod från andra tillgängliga bank-trojaner.

Författaren hävdar också att han använder Trojan för personliga operationer i minst två år innan han hyrde ut den till alla som är intresserade av de senaste två månaderna med $ 2000 för att använda i en månad, $ 7000 för 6 månader och upp till $ 12.000 för 12 månader.

Trojan Cerberus Banking: funktioner

https://www.youtube.com/watch?v=dMu0JzyucZ0

Enligt säkerhetsforskare från Threat Fabric som analyserade Cerberus Trojan-provet har skadlig programvara en lista över ganska vanliga funktioner, till exempel:

• ta skärmdump
• ljudinspelning
• nyckellista
• skicka, ta emot och ta bort textmeddelanden,
• stjäla kontaktlista
• vidarekoppla samtal
• samla in enhetsinformation
• Spåra enhetens plats
• stjäla kontouppgifter,
• inaktivera Play Protect
• ladda ner ytterligare applikationer och innehåll
• Ta bort applikationen från den infekterade enheten
• pushmeddelanden
• enhetens låsskärm

När Cerberus är infekterad döljer först ikonen från applikationslådan och begär sedan åtkomsttillstånd genom att dölja den som en Flash Player-tjänst. Om det tillhandahålls registrerar skadlig programvara automatiskt komprometterade enheter på sin kommando-och-kontrollserver, vilket gör att köparen / angriparen kan kontrollera enheten på distans.

För att stjäla kreditkortsnummer, bankkoder och användarlösenord för andra onlinekonton, tillåter Cerberus angripare att starta skärmöverläggsattacker från fjärrpanelen.

I en skärmöverläggningsattack visar trojanen en överläggning på en legitim mobilbankapplikation och lurar Android-användare att skriva in sina bankuppgifter på en falsk inloggningsskärm, till exempel en phishing-attack.

“Bots bryter mot tillgänglighetstjänsternas privilegium att få namnet på applikationspaketet i förgrunden och avgöra om ett fiske för överläggning av nätfiske ska visas,” sade forskarna.

Enligt forskarna innehöll Cerberus redan en överläggsmallattack med totalt 30 unika mål, inklusive:

• 7 franska bankansökningar
• 7 US bankapplikation
• 1 japansk bankapplikation
• 15 icke-bankansökningar

Cerberus använder rörelsebaserade actiontaktiker

Cerberus använder också flera intressanta tekniker för att undvika upptäckt av antiviruslösningar och undvika skanning, till exempel att använda enhetens accelerometer sensor för att mäta offrens rörelser.

Idén är enkel: När användare flyttar genererar deras Android-enhet generellt ett antal rörelsessensordata. Det skadliga programmet övervakar användarens steg genom enhetens rörelsessensor för att verifiera om den körs på en äkta Android-enhet.

Trojaner använder denna räknare för att aktivera bots; om stegräknaren når den förkonfigurerade tröskeln som anses köras på enheten, är det säkert, “förklarade forskarna.

“Dessa enkla steg förhindrar trojaner från att köra och analysera i en dynamisk (sandlåda) analysmiljö och i ett verktyg för analys av skadlig programvara.”

Om användarens enhet inte har några sensordata, antar skadlig programvara att sandlådan för skanning av skadlig programvara är en emulator utan rörelsessensor och inte kommer att köra någon skadlig kod.

Men denna teknik är inte heller unik och har tidigare använts av den populära Android-banken Trojan ‘Anubis’.

Det bör noteras att Cerberus skadlig programvara inte utnyttjar några sårbarheter för att installera automatiskt på vissa enheter från början. Istället är installation av skadlig program baserad på socialteknik.

För att skydda dig från att bli utsatt för hot mot skadlig programvara rekommenderas du därför att vara försiktig med vad du laddar ner till din mobiltelefon och definitivt tänka tre gånger innan du också fyller den.