地獄犬

有時，網絡犯罪分子不會在各種威脅操作中使用自己的黑客工具，而是選擇將它們作為服務出售。這種趨勢被稱為惡意軟件即服務，在網絡犯罪領域相當流行。這樣，即使是沒有技術技能的個人也可以在無辜用戶的支持下實施威脅並產生收入。最近，惡意軟件研究人員在黑客論壇上發現了一種新的惡意軟件即服務。這種威脅被稱為 Cerberus，據信是在俄羅斯聯邦製造的。 Cerberus 是一種基於 Android 的銀行木馬，具有令人印象深刻的收集重要數據和避免惡意軟件調試軟件的能力。

便宜且定期更新

與流行的Anubis銀行木馬不同，Cerberus 銀行木馬相當便宜，這很可能立即引起大量關注。此外，Cerberus 木馬的創建者確保定期更新黑客工具，這將使這種惡意軟件即服務對潛在買家更具吸引力。

本週惡意軟件 Ep8：COVID-19 鎖定導致遠程辦公詐騙增加#thisweekinmalware

網絡釣魚覆蓋

當用戶主要嘗試與合法銀行應用程序交互時，Cerberus 銀行木馬依賴於顯示網絡釣魚覆蓋。該木馬還有一個鍵盤記錄器模塊，允許其操作員從受害者那裡收集數據，例如各種帳戶的用戶名和密碼。此外，該威脅還可以收集用戶的聯繫人列表。

Cerberus 黑客試圖通過社交媒體修改設備設置並宣傳惡意軟件

允許 Cerberus 訪問受感染設備的底層代碼開始於 Android 設備的輔助服務被修改以獲得某些權限，如下圖所示。

感染了 Cerberus 的 Android 設備已修改其無障礙服務設置 – 來源：Threatfabric.com

多名安全研究人員發現，Cerberus 銀行惡意軟件背後的威脅行為者擁有一個官方 Twitter 帳戶，該帳戶過去曾被用來宣傳內容和媒體內容以傳播惡意軟件。下面的截圖來自他們最近一次廣告活動的推特賬戶。

Cerberus 黑客的推特帳戶和推文宣傳其惡意軟件的圖片 – 來源：Threatfabric.com

目標銀行應用程序數量有限

Cerberus 木馬程序所針對的銀行網站和應用程序的數量仍然相當有限。其中包括7個美國銀行應用程序、7個法國銀行應用程序和1個日本銀行應用程序。除了銀行應用程序外，Cerberus 木馬還有 15 個非銀行應用程序在其目標列表中。該威脅能夠檢測到用戶何時打開其列表中的應用程序之一，並誘使他們將登錄憑據放入虛假的網絡釣魚覆蓋層中，該覆蓋層幾乎與銀行門戶的合法覆蓋層相同。 Cerberus 銀行木馬還可以避免雙因素身份驗證，許多銀行網站將其作為額外的安全措施提供。

Cerberus Trojan 的許多巧妙操作都涉及 Flash 覆蓋。此類過程涉及通過顯示看起來像無害登錄屏幕的 Flash 覆蓋來定位用戶，如下圖所示。通過這樣的覆蓋，Cerberus 可以從用戶那裡獲取銀行詳細信息或信用卡信息，因為顯示表單看起來合法，因此他們可能不會懷疑有問題。沙盒環境可能會提示 Cerberus 然後收集數據並執行其惡意功能。

來自受 Cerberus 感染的設備的 Flash 覆蓋卡表單示例 - 來源：Threatfabric.com

為了避免潛在的沙盒環境，Cerberus 銀行木馬使用了一種有趣的技術。該木馬程序通過使用負責計算用戶足蹟的傳感器之一來檢查它是否正在合法設備上運行 - 如果它保持為零，則惡意軟件將保持休眠狀態。但是，如果達到一定數量的足跡，Cerberus 將繼續其有害活動。

許多網絡騙子很可能會對這種惡意軟件即服務產品感興趣，而且在不久的將來，我們可能會看到涉及 Cerberus 特洛伊木馬的攻擊激增。 Android 用戶需要停止低估其設備安全的重要性，並確保安裝合法的反惡意軟件應用程序，這將使他們的智能設備免受 Cerberus 銀行木馬等威脅的侵害。