Bankarski trojanac Cerberus pronađen u Google Play prodavnici

Mobilni telefoni, 09.07.2020, 09:31 AM

U Google Play prodavnici otkrivena je Android aplikacija u kojoj je bio sakriven bankarski trojanac Cerberus. Aplikacija ima 10000 preuzimanja.

Istraživači iz kompanije Avast kažu da se trojanac krio u aplikaciji za konvertovanje španske valute nazvanoj „Calculadora de Moneda“, koja je Android korisnicima u Španiji dostupna od marta.

Kada se pokrene, Cerberus može da krade podatke za prijavu na bankovne račune žrtava i da prevari sigurnosne mehanizme, uključujući i dvofaktornu autentifikaciju (2FA).

Da bi se izbeglo otkrivanje, aplikacija je prvih nekoliko nedelja prisustva u Play prodavnici krila svoje loše namere. Za to vreme, aplikacija je izgledala kao legitimni konverter valuta, nije krala podatke, niti je nanela bilo kakvu štetu, rekao je David Ondrej iz Avasta.

Razlog je to što se verovatno pokušalo da aplikacija pridobije korisnike koji će je instalirati, pre nego što započne sa bilo kakvim zlonamernim aktivnostima koje bi mogle da privuku pažnju istraživača malvera ili Googleovog Play Protect tima, objašnjavaju u Avastu.

Sredinom juna, novije verzije konvertera valuta uključivale su ono što su istraživači nazivali „dropper-kod“, ali on još uvek nije bio aktiviran. Zatim je 1. jula započela druga faza, kada je aplikacija postala dropper, tiho preuzimajući malver na uređaje, a da o tome žrtve nisu ništa znale. Aplikacija je bila povezana sa serverom za komande i kontrolu (C2), koji je izdao novu naredbu za preuzimanje malvera Cerberus.

Cerberus ima razne funkcije špijuniranja i krađe poverljivih podataka. On čeka da se korisnik prijavi na svoj bankovni račun, i zatim prikazuje svoj prozor preko ekrana za prijavu i krade podatke koje korisnik unosi. Pored toga, trojanac ima mogućnost pristupa tekstualnim porukama žrtava, što znači da može videti kodove za dvofaktornu autentifikaciju poslate preko poruke.

„Koristi Androidovu funkciju pristupačnosti, kao i mehanizam napada preklapanjem, koji je tipičan za bankarske trojance, pa kada korisnik otvori svoju aplikaciju za bankarstvo, kreira se prekrivni ekran i prikupljaju podaci o prijavi korisnika“, objasnio je David Ondrej.

Istraživači su rekli da su C2 server i trojanac povezani sa ovom kampanjom bili aktivni do ponedeljka ove nedelje. Zatim je u ponedeljak uveče C2 server nestao i konvertor valuta na Google Play više nije sadržao trojanca.

Avast je obavestio Google o ovoj aplikaciji.

“Verzija na Google Play trenutno više ne sadrži dropper kod - aplikacija je ažurirana novom verzijom, koja je ponovo benigna”, rekao je David. „Možemo samo da nagađamo zašto napadači to rade. Moguće je da oni testiraju različite opcije pomoću ove aplikacije, uključujući da li i kada Google ili spoljni istraživači otkrivaju zlonamerni kod. Za sada od Googlea još nismo dobili odgovor. “

Cerberus se prvi put pojavio prošlog avgusta na hakerskim forumima, kao MaaS (malware-as-a-service). Tada je primećena nova verzija Cerberusa, sa znatno proširenim i sofisticiranijim mogućnostima prikupljanja informacija i mogućnošću pokretanja TeamViewera.

David je rekao da Android korisnici mogu da se zaštite tako što će obratiti pažnju na dozvole koje aplikacija zahteva i proveravajući ocene aplikacije. “Ako smatrate da aplikacija zahteva više nego što obećava da će dati, smatrajte to upozorenjem”, rekao je on.