Cerbero

Cerbero Descrizione

cerberus cavallo di troia malware Android A volte, invece di utilizzare i propri strumenti di hacking in varie operazioni minacciose, i criminali informatici scelgono invece di venderli come servizio. Questa tendenza è chiamata malware-as-a-service ed è piuttosto popolare nel mondo del crimine informatico. In questo modo, anche gli individui senza competenze tecniche possono gestire una minaccia e generare entrate sulle spalle di utenti innocenti. Recentemente, i ricercatori di malware hanno scoperto un nuovo malware-as-a-service offerto su un forum di hacking. Questa minaccia si chiama Cerberus e si crede che sia stata fatta nella Federazione Russa. Cerberus è un trojan bancario basato su Android con straordinarie capacità di raccogliere dati importanti ed evitare software di debug di malware.

Economico e aggiornato regolarmente

A differenza del popolare Trojan bancario Anubis , il Trojan bancario Cerberus è piuttosto economico, il che probabilmente gli farà guadagnare immediatamente una notevole quantità di attenzione. Inoltre, il creatore del Trojan Cerberus si assicura di aggiornare regolarmente lo strumento di hacking, il che renderà questo malware-as-a-service ancora più attraente per i potenziali acquirenti.


Questa settimana nel malware Ep8: il blocco del COVID-19 provoca un aumento delle truffe sul telelavoro #thisweekinmalware

Sovrapposizioni di phishing

Il Trojan bancario Cerberus si basa principalmente su sovrapposizioni di phishing quando l'utente tenta di interagire con un'applicazione bancaria legittima. Questo Trojan ha anche un modulo keylogger, che consentirà ai suoi operatori di raccogliere dati dalla vittima, come nomi utente e password per vari account. Inoltre, questa minaccia può anche raccogliere l'elenco dei contatti dell'utente.

Gli hacker di Cerberus cercano di modificare le impostazioni del dispositivo e promuovono malware tramite i social media

Il codice sottostante che consente a Cerberus di accedere a un dispositivo infetto inizia con la modifica dei servizi di accessibilità dei dispositivi Android per determinati privilegi, come mostrato nell'immagine sottostante.

attacco Android cerberus
Dispositivo Android infetto da Cerberus con le impostazioni del servizio di accessibilità modificate – Fonte: Threatfabric.com

È stato scoperto da più ricercatori di sicurezza che gli attori delle minacce dietro il malware bancario di Cerberus hanno un account Twitter ufficiale che è stato utilizzato in passato per promuovere contenuti e contenuti multimediali per diffondere il malware. Lo screenshot qui sotto proviene dal loro account Twitter di una recente campagna pubblicitaria.

cerberus hacker account twitter
Immagine dell'account Twitter e dei tweet degli hacker di Cerberus che promuovono il loro malware – Fonte: Threatfabric.com

Numero limitato di applicazioni bancarie mirate

Il numero di siti Web e applicazioni bancari per i quali il Trojan Cerberus è stato programmato è ancora piuttosto limitato. Tra queste ci sono sette applicazioni bancarie statunitensi, sette applicazioni bancarie francesi e un'applicazione bancaria giapponese. Oltre alle applicazioni bancarie, il Trojan Cerberus ha anche quindici applicazioni non bancarie nel suo elenco di destinazione. La minaccia è in grado di rilevare quando un utente apre una delle applicazioni nel suo elenco e lo indurrebbe a inserire le proprie credenziali di accesso in un falso overlay di phishing che è quasi identico all'overlay legittimo del portale bancario. Il Trojan bancario Cerberus potrebbe anche essere in grado di evitare l'autenticazione a due fattori, che molti siti Web bancari offrono come misura di sicurezza aggiuntiva.

Le molte azioni intelligenti di Cerberus Trojan coinvolgono gli overlay Flash. Tale processo implica il targeting dell'utente visualizzando un overlay Flash che assomiglia a una schermata di accesso innocua, come mostrato nell'immagine qui sotto. Attraverso tale sovrapposizione, Cerberus può ottenere dettagli bancari o informazioni sulla carta di credito dall'utente che potrebbe non sospettare il problema poiché il modulo di visualizzazione sembra legittimo. L'ambiente sandbox potrebbe richiedere a Cerberus di raccogliere i dati ed eseguire le sue funzioni dannose.

cerberus flash overaly
Esempio di un modulo di scheda in overlay Flash da un dispositivo infetto da Cerberus - Fonte: Threatfabric.com

Per evitare un potenziale ambiente sandbox, il Trojan bancario Cerberus utilizza una tecnica interessante. Questo Trojan controlla se viene eseguito su un dispositivo legittimo utilizzando uno dei sensori responsabili del conteggio dei passi dell'utente: se rimane a zero, il malware rimarrà inattivo. Tuttavia, se viene raggiunto un certo numero di passi compiuti, Cerberus procederà con la sua attività dannosa.

È probabile che molti criminali informatici si interessino a questa offerta di malware-as-a-service e potremmo assistere a un'ondata di attacchi che coinvolgono il Trojan Cerberus nel prossimo futuro. Gli utenti Android devono smettere di sottovalutare l'importanza della sicurezza dei loro dispositivi e assicurarsi di installare un'applicazione anti-malware legittima, che manterrà i loro dispositivi intelligenti al sicuro da minacce come il Trojan bancario Cerberus.