Cerberus – malware do wynajęcia

Cerberus został już wielokrotnie przeanalizowany przez różne grupy cybersecurity. Lista jego możliwości jest obszerna i zawiera:

• robienie zrzutów ekranu
• nagrywanie dźwięku
• keylogging
• wysyłanie, odbieranie i usuwanie SMS-ów
• kradzież list kontaktów
• przekierowanie połączeń
• zbieranie informacji o urządzeniu
• śledzenie lokalizacji
• pobieranie dodatkowych aplikacji i ładunków
• usuwanie aplikacji z zainfekowanego urządzenia
• wysyłanie powiadomień
• blokowanie ekranu

Po zainfekowaniu Cerberus najpierw ukrywa swoją ikonę w szufladzie aplikacji, a następnie prosi o zezwolenie na dostęp, podszywając się pod znaną i zaufaną usługę. W USA jest to zazwyczaj Flash Player, w Polsce najczęściej spotykana opcja to aplikacja kurierska InPost. Jeśli dostęp zostanie przyznany, złośliwe oprogramowanie automatycznie rejestruje zaatakowane urządzenie na swoim serwerze Command & Control, umożliwiając atakującemu zdalne sterowanie smartfonem i wykonywanie wylistowanych powyżej akcji.

Aby ukraść numery kart kredytowych użytkowników, poświadczenia bankowe i hasła do innych kont internetowych, Cerberus umożliwia atakującym przeprowadzanie ataków z wykorzystaniem nakładki ekranowej, która przysłania rzeczywisty wygląd okna aplikacji. W ataku z wykorzystaniem nakładki trojan wyświetla obraz na legalnych aplikacjach bankowości mobilnej i nakłania użytkowników Androida do wprowadzenia swoich danych logowania bankowego na fałszywym ekranie logowania, podobnie jak w przypadku ataku phishingowego. Poniżej przykłady z francuskich aplikacji bankowych, które trudno odróżnić od phishingu:

Według autora, Cerberus zawiera już ponad 50 różnych nakładek do popularnych aplikacji bankowych z USA, Japonii, Chin, Francji czy Niemiec oraz wiele innych, takich jak konto Google, Amazon, Instagram.

Unikanie wykrycia

Jak wiele zaawansowanych złośliwych aplikacji, Cerberus wykorzystuje kilka interesujących technik, aby uniknąć wykrycia przez rozwiązania antywirusowe i zapobiec analizie. Ciekawym sposobem jest tutaj użycie czujnika przyspieszeniomierza urządzenia do pomiaru ruchów ofiary. Pomysł jest prosty – gdy użytkownik się porusza, jego urządzenie z Androidem zwykle generuje pewną ilość danych z czujnika ruchu. Złośliwe oprogramowanie monitoruje kroki użytkownika przez czujnik ruchu urządzenia, aby sprawdzić, czy działa na prawdziwym fizycznym telefonie, a nie na symulowanym systemie. Jeśli urządzenie użytkownika nie ma danych z czujników, szkodliwe oprogramowanie zakłada, że działa w piaskownicy, która jest emulatorem Android bez czujników ruchu i nie uruchomi złośliwego kodu.

Należy zauważyć, że złośliwe oprogramowanie Cerberus nie wykorzystuje żadnej luki, aby zostać automatycznie zainstalowanym na docelowym urządzeniu. Zamiast tego instalacja złośliwego oprogramowania opiera się na taktyce inżynierii społecznej. Niestety wiele aplikacji nawet z zaufanego Google Play może zawierać ładunek z malware. Dlatego, aby uchronić się przed takim zagrożeniem, zaleca się ostrożność podczas pobierania czegokolwiek na telefon i zdecydowanie przemyślenie czy aplikacja jest nam koniecznie do czegoś potrzebna czy tylko chcemy sprawdzić czym jest i jak działa.