Cerberus: Banking Malware mới xuất hiện trên các thiết bị Android

Sau một vài Trojan Android phổ biến như  Anubis ,  Red Alert 2.0 ,  GM bot và Exobot, thoát khỏi các dịch vụ phần mềm độc hại của doanh nghiệp, một người chơi mới đã xuất hiện trên Internet với các khả năng tương tự để lấp đầy khoảng trống, cung cấp dịch vụ cho thuê bot Android phục vụ quần chúng.

Được đặt tên là ” Cerberus ” , Trojan truy cập từ xa mới cho phép kẻ tấn công từ xa kiểm soát hoàn toàn các thiết bị Android bị nhiễm và cũng đi kèm với các khả năng của Trojan ngân hàng như sử dụng các cuộc tấn công lớp phủ, kiểm soát SMS và thu thập danh sách liên lạc.

Theo tác giả của phần mềm độc hại này, người gây ngạc nhiên trên mạng xã hội Twitter đã chế giễu các nhà nghiên cứu bảo mật và công nghiệp chống vi-rút một cách công khai, Cerberus đã được mã hóa từ đầu và không sử dụng lại bất kỳ mã nào từ các Trojan ngân hàng hiện có khác.

Tác giả cũng tuyên bố sẽ sử dụng Trojan cho các hoạt động tư nhân trong ít nhất hai năm trước khi cho thuê bất cứ ai quan tâm trong hai tháng qua với giá 2000 đô la cho việc sử dụng 1 tháng, 7000 đô la trong 6 tháng và lên tới 12.000 đô la trong 12 tháng.

Cerberus Banking Trojan: Tính năng

Theo các nhà nghiên cứu bảo mật tại Threat Fabric, người đã phân tích một mẫu của Cerberus Trojan, phần mềm độc hại có một danh sách các tính năng khá phổ biến, như:

  • Chụp ảnh màn hình
  • Ghi âm
  • Gửi, nhận và xóa tin nhắn SMS 
  • Ăn cắp danh sách liên lạc
  • Chuyển tiếp cuộc gọi
  • Thu thập thông tin thiết bị
  • Theo dõi vị trí thiết bị
  • Đánh cắp thông tin tài khoản, 
  • Vô hiệu hóa Play Protect
  • Tải xuống các ứng dụng và tải trọng bổ sung
  • Xóa ứng dụng khỏi thiết bị bị nhiễm
  • Thông báo đẩy
  • Khóa màn hình thiết bị

Sau khi bị nhiễm, Cerberus trước tiên ẩn biểu tượng của nó khỏi ngăn kéo ứng dụng và sau đó yêu cầu quyền truy cập bằng cách giả mạo chính nó là Dịch vụ Flash Player. Nếu được cấp, phần mềm độc hại sẽ tự động đăng ký thiết bị bị xâm nhập vào máy chủ chỉ huy và kiểm soát của nó, cho phép người mua / kẻ tấn công điều khiển thiết bị từ xa.

Để đánh cắp số thẻ tín dụng, thông tin ngân hàng và mật khẩu của người dùng cho các tài khoản trực tuyến khác, Cerberus cho phép kẻ tấn công khởi chạy các cuộc tấn công lớp phủ màn hình từ bảng điều khiển từ xa.

Trong cuộc tấn công lớp phủ màn hình, Trojan hiển thị lớp phủ trên đầu các ứng dụng ngân hàng di động hợp pháp và lừa người dùng Android nhập thông tin ngân hàng của họ vào màn hình đăng nhập giả, giống như một cuộc tấn công lừa đảo.

“Bot lạm dụng đặc quyền dịch vụ trợ năng để lấy tên gói của ứng dụng nền trước và xác định xem có hiển thị cửa sổ lớp phủ lừa đảo hay không”, các nhà nghiên cứu cho biết.

 

Theo các nhà nghiên cứu, Cerberus đã chứa các mẫu tấn công lớp phủ cho tổng số 30 mục tiêu duy nhất, bao gồm:

  • 7 ứng dụng ngân hàng của Pháp
  • 7 ứng dụng ngân hàng Mỹ
  • 1 ứng dụng ngân hàng Nhật Bản
  • 15 ứng dụng phi ngân hàng

Cerberus sử dụng chiến thuật Evasion dựa trên chuyển động

Cerberus cũng sử dụng một số kỹ thuật thú vị để tránh sự phát hiện từ các giải pháp chống vi-rút và ngăn chặn phân tích của nó, như sử dụng cảm biến gia tốc của thiết bị để đo chuyển động của nạn nhân. 
Ý tưởng này rất đơn giản khi người dùng di chuyển, thiết bị Android của họ thường tạo ra một số lượng dữ liệu cảm biến chuyển động. Phần mềm độc hại giám sát các bước của người dùng thông qua cảm biến chuyển động của thiết bị để kiểm tra xem nó có chạy trên thiết bị Android thực không.

Các nhà nghiên cứu giải thích: “Trojan sử dụng bộ đếm này để kích hoạt bot, nếu bộ đếm bước nói trên đạt đến ngưỡng được cấu hình sẵn mà nó cho là chạy trên thiết bị là an toàn”.“Biện pháp đơn giản này ngăn chặn Trojan chạy và được phân tích trong môi trường phân tích động (hộp cát) và trên các thiết bị thử nghiệm của các nhà phân tích phần mềm độc hại.”

Nếu thiết bị của người dùng thiếu dữ liệu cảm biến, phần mềm độc hại giả định rằng hộp cát để quét phần mềm độc hại là trình giả lập không có cảm biến chuyển động và sẽ không chạy mã độc.

Tuy nhiên, kỹ thuật này cũng không phải là duy nhất và trước đây đã được triển khai bởi Trojan ngân hàng nổi tiếng ‘Anubis’ .

Cần lưu ý rằng phần mềm độc hại Cerberus không khai thác bất kỳ lỗ hổng nào để tự động cài đặt trên thiết bị được nhắm mục tiêu. Thay vào đó, việc cài đặt phần mềm độc hại dựa trên các chiến thuật kỹ thuật xã hội.

Do đó, để bảo vệ bản thân khỏi trở thành nạn nhân của các mối đe dọa phần mềm độc hại như vậy, bạn nên cẩn thận với những gì bạn tải xuống trên điện thoại và chắc chắn nghĩ ba lần trước khi tải phụ.

bình luận

Leave a Comment