Cerberus，一种新的银行木马，可以在地下作为恶意软件即服务使用

华盟君引言“安全专家分析了一个有趣的Android银行木马，名为Cerberus，由作者提供出租。”

一种名为Cerberus的新型恶意软件即服务已经出现在威胁领域，它是一种从零开始开发的Android RAT，不会从其他恶意软件借用代码。

据分析威胁的研究人员称，Cerberus实现了与其他Android RAT类似的功能，它允许运营商完全控制受感染的设备。

该恶意软件实现了银行木马的功能，如使用覆盖攻击，拦截短信和访问联系人列表的能力。

1.采取截图

2.录制音频

3.记录keylogs

4.发送、接收和删除sms，

5.偷联系人列表

6.转发的电话

7.收集设备信息

8.跟踪设备的位置

9.窃取账户凭证,

10.禁用发挥保护

11.下载额外的应用程序和有效负载

12.从受感染的设备上删除应用程序

13.通知

14.锁紧装置的屏幕

这款恶意软件的作者在推特上非常活跃，并嘲笑安全公司声称至少两年没有被发现。

在2019年6月，ThreatFabric分析师发现了一种新的Android恶意软件，名为“Cerberus”，正在地下论坛上出租。它的作者声称，在租金开始之前，它曾被用于私人运营两年。《威胁组织》(Threat Fabric)发表的分析报告中写道。“他们还状态,从头开始编写代码,而不是使用其他现有的部分银行木马和其他许多木马,要么是完全基于另一个木马的来源(如泄露导引亡灵之神正在出售的源代码)或者至少借其他木马。”

作者以每月2000美元的价格出租该恶意软件，半年7000美元，全年12000美元。

一旦Cerberus感染了Android设备，它将把自己的图标隐藏在应用程序抽屉中，然后冒充Flash Player服务请求访问权限。

一旦受害者向恶意软件提交了请求的授权，Cerberus就会将被破坏的设备注册到C2服务器，并将其作为僵尸网络的一部分出租。

恶意代码用户会覆盖攻击，窃取受害者的敏感和财务数据，包括信用卡号码、银行凭证和银行账户密码。

在覆盖攻击中，攻击者创建一个UI覆盖，显示在合法的Android应用程序之上，并欺骗受害者提供敏感信息或单击确认按钮。

大多数Android银行木马使用覆盖攻击来欺骗受害者提供他们的个人信息(比如但不限于:信用卡信息、银行凭证、邮件凭证)，Cerberus也不例外。报告继续写道。研究人员说:“机器人滥用易访问性服务特权来获取前台应用程序的包名，并决定是否显示钓鱼覆盖窗口。”

Cerberus包含了针对30个应用的模板:

7法国银行应用

7个美国银行应用

1日本银行app

15非银行的应用

Cerberus还实现了一些有趣的技术来逃避检测，其中之一是使用加速计传感器来检测受害者是否在使用该设备，并确定它是否在虚拟环境中运行。研究人员解释说:“木马使用这个计数器来激活机器人——如果前面提到的步骤计数器达到预先配置的阈值，它认为在设备上运行是安全的。”

这个简单的措施可以防止木马在动态分析环境(沙箱)和恶意软件分析师的测试设备上运行和分析。报告继续写道。

其他恶意软件，如Anubis银行木马，实现了这种技术，以避免检测。

Cerberus恶意软件利用社会工程诱骗受害者将其安装到受害者的设备上。

尽管还不够成熟，无法提供一套完整的Android银行恶意软件功能(比如RAT、RAT with ATS(自动交易脚本)、反向连接代理、媒体流媒体)，或者提供一个详尽的目标列表，但Cerberus不应被轻视。报告总结道。

“由于目前在地下社区中缺乏维护和支持的Android银行恶意软件即服务，因此必然需要一种新的服务。Cerberus已经有能力满足这一需求。”