Cerberus,一种新的银行木马,可以在地下作为恶意软件即服务使用
华盟君引言“安全专家分析了一个有趣的Android银行木马,名为Cerberus,由作者提供出租。”
一种名为Cerberus的新型恶意软件即服务已经出现在威胁领域,它是一种从零开始开发的Android RAT,不会从其他恶意软件借用代码。
据分析威胁的研究人员称,Cerberus实现了与其他Android RAT类似的功能,它允许运营商完全控制受感染的设备。
该恶意软件实现了银行木马的功能,如使用覆盖攻击,拦截短信和访问联系人列表的能力。
1.采取截图
2.录制音频
3.记录keylogs
4.发送、接收和删除sms,
5.偷联系人列表
6.转发的电话
7.收集设备信息
8.跟踪设备的位置
9.窃取账户凭证,
10.禁用发挥保护
11.下载额外的应用程序和有效负载
12.从受感染的设备上删除应用程序
13.通知
14.锁紧装置的屏幕
这款恶意软件的作者在推特上非常活跃,并嘲笑安全公司声称至少两年没有被发现。
在2019年6月,ThreatFabric分析师发现了一种新的Android恶意软件,名为“Cerberus”,正在地下论坛上出租。它的作者声称,在租金开始之前,它曾被用于私人运营两年。《威胁组织》(Threat Fabric)发表的分析报告中写道。“他们还状态,从头开始编写代码,而不是使用其他现有的部分银行木马和其他许多木马,要么是完全基于另一个木马的来源(如泄露导引亡灵之神正在出售的源代码)或者至少借其他木马。”
作者以每月2000美元的价格出租该恶意软件,半年7000美元,全年12000美元。
一旦Cerberus感染了Android设备,它将把自己的图标隐藏在应用程序抽屉中,然后冒充Flash Player服务请求访问权限。
一旦受害者向恶意软件提交了请求的授权,Cerberus就会将被破坏的设备注册到C2服务器,并将其作为僵尸网络的一部分出租。
恶意代码用户会覆盖攻击,窃取受害者的敏感和财务数据,包括信用卡号码、银行凭证和银行账户密码。
在覆盖攻击中,攻击者创建一个UI覆盖,显示在合法的Android应用程序之上,并欺骗受害者提供敏感信息或单击确认按钮。
大多数Android银行木马使用覆盖攻击来欺骗受害者提供他们的个人信息(比如但不限于:信用卡信息、银行凭证、邮件凭证),Cerberus也不例外。报告继续写道。研究人员说:“机器人滥用易访问性服务特权来获取前台应用程序的包名,并决定是否显示钓鱼覆盖窗口。”
Cerberus包含了针对30个应用的模板:
7法国银行应用
7个美国银行应用
1日本银行app
15非银行的应用
Cerberus还实现了一些有趣的技术来逃避检测,其中之一是使用加速计传感器来检测受害者是否在使用该设备,并确定它是否在虚拟环境中运行。研究人员解释说:“木马使用这个计数器来激活机器人——如果前面提到的步骤计数器达到预先配置的阈值,它认为在设备上运行是安全的。”
这个简单的措施可以防止木马在动态分析环境(沙箱)和恶意软件分析师的测试设备上运行和分析。报告继续写道。
其他恶意软件,如Anubis银行木马,实现了这种技术,以避免检测。
Cerberus恶意软件利用社会工程诱骗受害者将其安装到受害者的设备上。
尽管还不够成熟,无法提供一套完整的Android银行恶意软件功能(比如RAT、RAT with ATS(自动交易脚本)、反向连接代理、媒体流媒体),或者提供一个详尽的目标列表,但Cerberus不应被轻视。报告总结道。
“由于目前在地下社区中缺乏维护和支持的Android银行恶意软件即服务,因此必然需要一种新的服务。Cerberus已经有能力满足这一需求。”