Cerberus
Siber suçlular bazen çeşitli tehdit operasyonlarında kendi hackleme araçlarını kullanmak yerine bunları bir hizmet olarak satmayı tercih ediyor. Bu eğilime hizmet olarak kötü amaçlı yazılım denir ve siber suç dünyasında oldukça popülerdir. Bu şekilde, hiçbir teknik beceriye sahip olmayan kişiler bile bir tehdit oluşturabilir ve masum kullanıcıların sırtından gelir elde edebilir. Son zamanlarda, kötü amaçlı yazılım araştırmacıları, bir bilgisayar korsanlığı forumunda sunulan yeni bir hizmet olarak kötü amaçlı yazılımı ortaya çıkardı. Bu tehdidin adı Cerberus ve Rusya Federasyonu'nda yapıldığına inanılıyor. Cerberus, önemli verileri toplamak ve kötü amaçlı yazılım hata ayıklama yazılımlarından kaçınmak için etkileyici yeteneklere sahip Android tabanlı bir bankacılık Truva Atı'dır.
İçindekiler
Ucuz ve Düzenli Olarak Güncelleniyor
Popüler Anubis bankacılık Truva Atı'nın aksine, Cerberus bankacılık Truva Atı oldukça ucuzdur ve bu da onu hemen önemli miktarda dikkat çekmesi muhtemeldir. Ayrıca, Cerberus Truva Atı'nın yaratıcısı, korsanlık aracını düzenli olarak güncellemeyi garanti eder, bu da hizmet olarak kötü amaçlı yazılımı potansiyel alıcılar için daha da çekici hale getirecektir.
Malware Ep8'de Bu Hafta: COVID-19 Kilitlenmesi Uzaktan Çalışma Dolandırıcılıklarında Artışa Neden Oluyor #thisweekinmalware
Kimlik Avı Bindirmeleri
Cerberus bankacılık Truva Atı, kullanıcı öncelikle meşru bir bankacılık uygulamasıyla etkileşime girmeye çalıştığında, görüntülenen kimlik avı yer paylaşımlarına güvenir. Bu Truva Atı ayrıca operatörlerinin kurbandan çeşitli hesaplar için kullanıcı adları ve şifreler gibi verileri toplamasına olanak tanıyan bir keylogger modülüne sahiptir. Ayrıca bu tehdit, kullanıcının iletişim listesini de toplayabilir.
Cerberus Hackerları, Cihaz Ayarlarını Değiştirmeye ve Sosyal Medya Üzerinden Kötü Amaçlı Yazılımları Teşvik Etmeye Çalışıyor
Cerberus'un virüslü bir cihaza erişmesine izin veren temel kod, aşağıdaki resimde gösterildiği gibi Android cihazların erişilebilirlik hizmetlerinin belirli ayrıcalıklar için değiştirilmesiyle başlar.
Erişilebilirlik hizmeti ayarları değiştirilmiş Cerberus bulaşmış Android cihaz – Kaynak: Threatfabric.com
Çok sayıda güvenlik araştırmacısı, Cerberus bankacılık kötü amaçlı yazılımının arkasındaki tehdit aktörlerinin, geçmişte içeriği ve kötü amaçlı yazılımı yaymak için medya içeriğini tanıtmak için kullanılan resmi bir twitter hesabına sahip olduğunu ortaya çıkardı. Aşağıdaki ekran görüntüsü, yakın tarihli bir reklam kampanyasının twitter hesabından alınmıştır.
Cerberus bilgisayar korsanlarının twitter hesabının ve kötü amaçlı yazılımlarını tanıtan tweetlerin görüntüsü – Kaynak: Threatfabric.com
Hedeflenen Sınırlı Sayıda Bankacılık Uygulaması
Cerberus Truva Atı'nın hedef almak üzere programlandığı bankacılık web sitelerinin ve uygulamalarının sayısı hala oldukça sınırlı. Bunların arasında yedi ABD bankacılık uygulaması, yedi Fransız bankacılık uygulaması ve bir Japon bankacılık uygulaması bulunmaktadır. Cerberus Trojan'ın bankacılık uygulamalarının yanı sıra hedef listesinde on beş bankacılık dışı uygulama da bulunuyor. Tehdit, bir kullanıcının kendi listesindeki uygulamalardan birini açtığını tespit edebilir ve onları, bankacılık portalının yasal kaplamasıyla neredeyse aynı olan sahte bir kimlik avı kaplamasına oturum açma kimlik bilgilerini girmeleri için kandırabilir. Cerberus bankacılık Truva Atı, birçok bankacılık web sitesinin ek bir güvenlik önlemi olarak sunduğu iki faktörlü kimlik doğrulamasını da önleyebilir.
Cerberus Trojan'ın birçok akıllı eylemi, Flash kaplamalarını içerir. Böyle bir işlem, aşağıdaki resimde gösterildiği gibi, zararsız bir oturum açma ekranına benzeyen bir Flash yer paylaşımı görüntüleyerek kullanıcıyı hedeflemeyi içerir. Cerberus, bu tür bir kaplama yoluyla, görüntüleme formu meşru göründüğü için sorundan şüphelenmeyecek olan kullanıcıdan banka bilgilerini veya kredi kartı bilgilerini alabilir. Korumalı alan ortamı, Cerberus'tan verileri toplamasını ve kötü niyetli işlevlerini gerçekleştirmesini isteyebilir.
Cerberus bulaşmış bir cihazdan Flash yer paylaşımlı kart formu örneği - Kaynak: Threatfabric.com
Potansiyel bir sanal alan ortamından kaçınmak için Cerberus bankacılık Truva Atı ilginç bir teknik kullanır. Bu Truva Atı, kullanıcının adımlarını saymaktan sorumlu sensörlerden birini kullanarak meşru bir cihazda çalıştırılıp çalıştırılmadığını kontrol eder - sıfırda kalırsa kötü amaçlı yazılım uykuda kalır. Ancak belli sayıda adım atılırsa Cerberus zararlı faaliyetine devam edecektir.
Birçok siber dolandırıcının bu hizmet olarak kötü amaçlı yazılım teklifiyle ilgilenmesi muhtemeldir ve yakın gelecekte Cerberus Truva Atı'nı içeren bir saldırı dalgası görebiliriz. Android kullanıcılarının cihazlarının güvenliğinin önemini küçümsemekten vazgeçmeleri ve akıllı cihazlarını Cerberus bankacılık Truva Atı gibi tehditlerden koruyacak meşru bir kötü amaçlı yazılımdan koruma uygulaması yüklediklerinden emin olmaları gerekir.
