Cerberus troyano bancario para Android

Los investigadores lo comentan como un troyano bancario nunca antes visto, denominado como Cerberus, esta siendo alquilado en foros clandestinos por un grupo de amenazas al que le gusta interactuar públicamente con la comunidad de defensa a través de Twitter.

Según ThreatFabric, el troyano bancario Cerberus no se basa en el código fuente filtrado de Anubis que sustenta muchos troyanos nuevos en el mercado. Ya que sus propios autores afirman que es completamente a medida, sin reutilización de código, y este cuenta con soporte de infraestructura.

Esto ofrece un diferenciador importante, dado a que el mercado de los troyanos bancarios de Android están en una fase de transición.

Comentan los investigadores

Después de que el actor de Anubis supuestamente fue arrestado y se filtró el código fuente, también hubo un gran aumento en el número de muestras de Anubis encontradas en la naturaleza, pero los nuevos actores que usan Anubis no tienen soporte o actualizaciones. Debido a esto, Cerberus será útil para los actores que desean centrarse en realizar fraudes sin tener que desarrollar y mantener una infraestructura de botnet y comando y control.

Cerberus se distingue de varias maneras. Por un lado, utiliza un método interesante para determinar que no se está ejecutando en un entorno de caja de arena: utiliza el sensor del acelerómetro del dispositivo para medir los movimientos de la víctima con una función de podómetro; Los investigadores dijeron que utiliza el contador de pasos para activar el bot una vez que alcanza un umbral preconfigurado.

Este cuenta con una lista pequeña de aplicaciones móviles para que las configuren y poder realizar ataque de superposición. Con esto obtener el nombre de los paquetes de la aplicación en primer plano y de esta manera determinar si cuenta con una ventana de superposición de phishing para poder obtener las tarjetas de cuentas bancarias, correo electrónico etc.

Actualmente solo funciona con 7 aplicaciones bancarias francesas y 7 aplicaciones bancarias estadounidenses, 1 aplicación bancaria japonesa y 15 aplicaciones no bancarias según su ultimo análisis.

“La lista de objetivos poco común podría ser el resultado de una demanda específica del cliente o debido a que algunos actores han reutilizado parcialmente una lista de objetivos existente”

Comentaron los investigadores

La cosa inusual sobre Cerberus es el comportamiento de sus autores.

“Una cosa peculiar sobre el grupo de actores detrás de este malware bancario es que tienen una cuenta de Twitter” oficial “que usan para publicar contenido promocional (incluso videos) sobre el malware”.

ThreatFabric

Por extraño que esto parezca, también lo usan para burlarse de la comunidad de AV, compartir capturas de pantalla de VirusTotal por fugas de IoC e incluso participar en debates con los investigadores de seguridad de malware de manera directa.

Las características de este troyano son el control de SMS, recolección de listas de contactos y el registro de teclas para ampliar el alcance del ataque, este carece de una conexión de proxy, transmisión de medios y control de acceso remoto.

“Después de que el usuario concede el privilegio solicitado, Cerberus comienza a abusar de él otorgándose permisos adicionales, como los permisos necesarios para enviar mensajes y hacer llamadas, sin requerir ninguna interacción del usuario”, según ThreatFabric. “También deshabilita Play Protect (la solución antivirus preinstalada de Google) para evitar su descubrimiento y eliminación en el futuro. Después de concederse convenientemente privilegios adicionales y asegurar su persistencia en el dispositivo, Cerberus registra el dispositivo infectado en la botnet y espera los comandos del servidor C2 mientras también está listo para realizar ataques de superposición “.

El mercado de malware como servicio está maduro para Cerberus.

“Además de ser un troyano inmaduro, este no debe tomarse altamente a la ligera”.

Las características que ya posee y el dinero que se puede obtener del alquiler, podría evolucionar para competir con los troyanos bancarios Android más poderosos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: