Cerberus,一种新的银行木马,可以在地下作为恶意软件即服务使用

华盟原创文章投稿奖励计划

华盟君引言“安全专家分析了一个有趣的Android银行木马,名为Cerberus,由作者提供出租。

一种名为Cerberus的新型恶意软件即服务已经出现在威胁领域,它是一种从零开始开发的Android RAT,不会从其他恶意软件借用代码。

据分析威胁的研究人员称,Cerberus实现了与其他Android RAT类似的功能,它允许运营商完全控制受感染的设备。

该恶意软件实现了银行木马的功能,如使用覆盖攻击,拦截短信和访问联系人列表的能力。

1.采取截图

2.录制音频

3.记录keylogs

4.发送、接收和删除sms,

5.偷联系人列表

6.转发的电话

7.收集设备信息

8.跟踪设备的位置

9.窃取账户凭证,

10.禁用发挥保护

11.下载额外的应用程序和有效负载

12.从受感染的设备上删除应用程序

13.通知

14.锁紧装置的屏幕

这款恶意软件的作者在推特上非常活跃,并嘲笑安全公司声称至少两年没有被发现。

在2019年6月,ThreatFabric分析师发现了一种新的Android恶意软件,名为“Cerberus”,正在地下论坛上出租。它的作者声称,在租金开始之前,它曾被用于私人运营两年。《威胁组织》(Threat Fabric)发表的分析报告中写道。“他们还状态,从头开始编写代码,而不是使用其他现有的部分银行木马和其他许多木马,要么是完全基于另一个木马的来源(如泄露导引亡灵之神正在出售的源代码)或者至少借其他木马。”

Cerberus,一种新的银行木马,可以在地下作为恶意软件即服务使用

作者以每月2000美元的价格出租该恶意软件,半年7000美元,全年12000美元。

一旦Cerberus感染了Android设备,它将把自己的图标隐藏在应用程序抽屉中,然后冒充Flash Player服务请求访问权限。

一旦受害者向恶意软件提交了请求的授权,Cerberus就会将被破坏的设备注册到C2服务器,并将其作为僵尸网络的一部分出租。

恶意代码用户会覆盖攻击,窃取受害者的敏感和财务数据,包括信用卡号码、银行凭证和银行账户密码。

在覆盖攻击中,攻击者创建一个UI覆盖,显示在合法的Android应用程序之上,并欺骗受害者提供敏感信息或单击确认按钮。

大多数Android银行木马使用覆盖攻击来欺骗受害者提供他们的个人信息(比如但不限于:信用卡信息、银行凭证、邮件凭证),Cerberus也不例外。报告继续写道。研究人员说:“机器人滥用易访问性服务特权来获取前台应用程序的包名,并决定是否显示钓鱼覆盖窗口。”

Cerberus包含了针对30个应用的模板:

7法国银行应用

7个美国银行应用

1日本银行app

15非银行的应用

Cerberus还实现了一些有趣的技术来逃避检测,其中之一是使用加速计传感器来检测受害者是否在使用该设备,并确定它是否在虚拟环境中运行。研究人员解释说:“木马使用这个计数器来激活机器人——如果前面提到的步骤计数器达到预先配置的阈值,它认为在设备上运行是安全的。”

这个简单的措施可以防止木马在动态分析环境(沙箱)和恶意软件分析师的测试设备上运行和分析。报告继续写道。

其他恶意软件,如Anubis银行木马,实现了这种技术,以避免检测。

Cerberus恶意软件利用社会工程诱骗受害者将其安装到受害者的设备上。

尽管还不够成熟,无法提供一套完整的Android银行恶意软件功能(比如RAT、RAT with ATS(自动交易脚本)、反向连接代理、媒体流媒体),或者提供一个详尽的目标列表,但Cerberus不应被轻视。报告总结道。

“由于目前在地下社区中缺乏维护和支持的Android银行恶意软件即服务,因此必然需要一种新的服务。Cerberus已经有能力满足这一需求。”

本文原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/241173.html

发表评论