地狱犬

cerberus 特洛伊木马 android 恶意软件有时,网络犯罪分子不会在各种威胁操作中使用自己的黑客工具,而是选择将它们作为服务出售。这种趋势被称为恶意软件即服务,在网络犯罪领域相当流行。这样,即使是没有技术技能的个人也可以在无辜用户的支持下实施威胁并产生收入。最近,恶意软件研究人员在黑客论坛上发现了一种新的恶意软件即服务。这种威胁被称为 Cerberus,据信是在俄罗斯联邦制造的。 Cerberus 是一种基于 Android 的银行木马,具有令人印象深刻的收集重要数据和避免恶意软件调试软件的能力。

便宜且定期更新

与流行的Anubis银行木马不同,Cerberus 银行木马相当便宜,这很可能立即引起大量关注。此外,Cerberus 木马的创建者确保定期更新黑客工具,这将使这种恶意软件即服务对潜在买家更具吸引力。


本周恶意软件 Ep8:COVID-19 锁定导致远程办公诈骗增加#thisweekinmalware

网络钓鱼覆盖

当用户主要尝试与合法银行应用程序交互时,Cerberus 银行木马依赖于显示网络钓鱼覆盖。该木马还有一个键盘记录器模块,允许其操作员从受害者那里收集数据,例如各种帐户的用户名和密码。此外,该威胁还可以收集用户的联系人列表。

Cerberus 黑客试图通过社交媒体修改设备设置并宣传恶意软件

允许 Cerberus 访问受感染设备的底层代码开始于 Android 设备的辅助服务被修改以获得某些权限,如下图所示。

cerberus android 攻击
感染了 Cerberus 的 Android 设备已修改其无障碍服务设置 – 来源:Threatfabric.com

多名安全研究人员发现,Cerberus 银行恶意软件背后的威胁行为者拥有一个官方 Twitter 帐户,该帐户过去曾被用来宣传内容和媒体内容以传播恶意软件。下面的截图来自他们最近一次广告活动的推特账户。

cerberus 黑客的推特账号
Cerberus 黑客的推特帐户和推文宣传其恶意软件的图片 – 来源:Threatfabric.com

目标银行应用程序数量有限

Cerberus 木马程序所针对的银行网站和应用程序的数量仍然相当有限。其中包括7个美国银行应用程序、7个法国银行应用程序和1个日本银行应用程序。除了银行应用程序外,Cerberus 木马还有 15 个非银行应用程序在其目标列表中。该威胁能够检测到用户何时打开其列表中的应用程序之一,并诱使他们将登录凭据放入虚假的网络钓鱼覆盖层中,该覆盖层几乎与银行门户的合法覆盖层相同。 Cerberus 银行木马还可以避免双因素身份验证,许多银行网站将其作为额外的安全措施提供。

Cerberus Trojan 的许多巧妙操作都涉及 Flash 覆盖。此类过程涉及通过显示看起来像无害登录屏幕的 Flash 覆盖来定位用户,如下图所示。通过这样的覆盖,Cerberus 可以从用户那里获取银行详细信息或信用卡信息,因为显示表单看起来合法,他们可能不会怀疑问题。沙盒环境可能会提示 Cerberus 然后收集数据并执行其恶意功能。

cerberus flash overaly
来自受 Cerberus 感染的设备的 Flash 覆盖卡表单示例 - 来源:Threatfabric.com

为了避免潜在的沙盒环境,Cerberus 银行木马使用了一种有趣的技术。该木马程序通过使用负责计算用户足迹的传感器之一来检查它是否正在合法设备上运行 - 如果它保持为零,则恶意软件将保持休眠状态。但是,如果达到一定数量的足迹,Cerberus 将继续其有害活动。

许多网络骗子很可能会对这种恶意软件即服务产品感兴趣,而且在不久的将来,我们可能会看到涉及 Cerberus 特洛伊木马的攻击激增。 Android 用户需要停止低估其设备安全性的重要性,并确保安装合法的反恶意软件应用程序,这将使他们的智能设备免受 Cerberus 银行木马等威胁的侵害。

趋势

最受关注

正在加载...