Цербер
Иногда вместо того, чтобы использовать свои собственные хакерские инструменты в различных угрожающих операциях, киберпреступники предпочитают продавать их как услугу. Этот тренд получил название «вредоносное ПО как услуга» и довольно популярен в мире киберпреступности. Таким образом, даже люди без технических навыков могут управлять угрозой и получать доход за счет невинных пользователей. Недавно исследователи вредоносных программ обнаружили новое вредоносное ПО как услугу, предлагаемое на хакерском форуме. Эта угроза называется Cerberus и, как полагают, была создана в Российской Федерации. Cerberus - это банковский троянец на базе Android, обладающий впечатляющими способностями собирать важные данные и избегать программ для отладки вредоносных программ.
Оглавление
Дешево и регулярно обновляется
В отличие от популярного банковского трояна Anubis, банковский троян Cerberus довольно дешев, что, вероятно, сразу же привлечет к себе значительное внимание. Кроме того, создатель троянца Cerberus регулярно обновляет хакерский инструмент, что сделает это вредоносное ПО как услугу еще более привлекательным для потенциальных покупателей.
На этой неделе в вредоносном ПО, эпизод 8: Блокировка COVID-19 вызывает рост мошенничества, связанного с удаленной работой #thisweekinmalware
Фишинговые оверлеи
Банковский троянец Cerberus полагается на отображение фишинговых оверлеев, когда пользователь в первую очередь пытается взаимодействовать с законным банковским приложением. Этот троянец также имеет модуль кейлоггера, который позволит его операторам собирать данные от жертвы, такие как имена пользователей и пароли для различных учетных записей. Кроме того, эта угроза также может собирать список контактов пользователя.
Хакеры Cerberus стремятся изменить настройки устройства и продвигать вредоносное ПО через социальные сети
Базовый код, который позволяет Cerberus получить доступ к зараженному устройству, начинается с того, что службы специальных возможностей устройств Android изменяются для получения определенных прав, как показано на изображении ниже.
Устройство Android, зараженное Cerberus, изменило настройки службы специальных возможностей - Источник: Threatfabric.com
Несколько исследователей безопасности обнаружили, что злоумышленники, стоящие за банковским вредоносным ПО Cerberus, имеют официальную учетную запись в Twitter, которая использовалась в прошлом для продвижения контента и медиаконтента для распространения вредоносного ПО. Скриншот ниже взят из их твиттер-аккаунта недавней рекламной кампании.
Изображение твиттер-аккаунта хакеров Cerberus и твиты, рекламирующие их вредоносное ПО - Источник: Threatfabric.com
Ограниченное количество целевых банковских приложений
Количество банковских веб-сайтов и приложений, на которые был запрограммирован троян Cerberus, все еще довольно ограничено. Среди них семь банковских приложений США, семь французских банковских приложений и одно японское банковское приложение. Помимо банковских приложений, троян Cerberus также имеет пятнадцать небанковских приложений в своем целевом списке. Угроза способна обнаруживать, когда пользователь открывает одно из приложений в ее списке, и заставляет их ввести свои учетные данные в поддельном фишинговом оверлее, который почти идентичен законному оверлею банковского портала. Банковский троянец Cerberus также может избежать двухфакторной аутентификации, которую многие банковские сайты предлагают в качестве дополнительной меры безопасности.
Многие хитрые действия трояна Cerberus связаны с наложением Flash. Такой процесс включает нацеливание на пользователя путем отображения наложения Flash, который выглядит как безобидный экран входа в систему, как показано на изображении ниже. Посредством такого наложения Cerberus может получить банковские реквизиты или информацию о кредитной карте от пользователя, который может не подозревать о проблеме, поскольку форма отображения выглядит законной. Среда песочницы может побудить Cerberus затем собрать данные и выполнить свои вредоносные функции.
Пример формы наложения Flash-карты с устройства, зараженного Cerberus - Источник: Threatfabric.com
Чтобы избежать потенциальной «песочницы», банковский троянец Cerberus использует интересную технику. Этот троянец проверяет, запущен ли он на легитимном устройстве, используя один из датчиков, отвечающих за подсчет шагов пользователя - если он останется на нуле, вредоносная программа останется бездействующей. Однако, если будет сделано определенное количество шагов, Цербер продолжит свою вредоносную деятельность.
Вероятно, что многие кибер-преступники заинтересуются этим предложением «вредоносное ПО как услуга», и в ближайшем будущем мы можем увидеть всплеск атак с участием троянца Cerberus. Пользователи Android должны перестать недооценивать важность безопасности своих устройств и обязательно установить законное приложение для защиты от вредоносных программ, которое защитит их интеллектуальные устройства от угроз, таких как банковский троян Cerberus.
