江苏龙网

  1. 首页 > 人文 > >

Odaily星球日报■Cerberus:Android平台新型木马病毒( 三 )


7 种美国银行应用程序
1 个日本银行应用程序
15 个非银行应用
这个不常见的目标列表可能来源于特定的客户需求 , 或者是由于某些参与者重用了部分现有目标列表 。
结论尽管 Cerberus 还不够成熟 , 无法提供一套 Android 平台银行恶意软件完整功能【例如 RAT(remote access Trojan 远程访问木马) , 带有 ATS(Automated Transaction Script 自动交易脚本)的 RAT、反向连接代理、媒体录制】或提供相近的目标列表 , 但对于 Cerberus 不能掉以轻心。
由于地下社区当前缺乏维护和受支持的服务即 Android 平台银行恶意软件 , 肯定有一个新的服务需求 。 Cerberus 已经有能力满足这一需求 。 除了它已经拥有的功能列表以及可从租金赚取收益之外 , 它会不断演变 , 以演变成为最强大的 Android 平台银行木马 。 除了这些功能 , 预计目标列表将在不远的将来扩展 , 以包含其他(银行)应用 。
目前 Cerberus 仍是一种市面上活跃的新型木马 。
附录样品
下面是市面上发现的一些的 Cerberus 样本 。
列表 1:
Odaily星球日报■Cerberus:Android平台新型木马病毒
本文插图
列表 2:
Odaily星球日报■Cerberus:Android平台新型木马病毒
本文插图
目标列表Cerberus 所针对的移动应用程序列表 , 共 30 个:
Odaily星球日报■Cerberus:Android平台新型木马病毒
本文插图
2020 新变种出现在 2019 年 6 月底恶意软件关注中的 Cerberus 银行木马已从 Anubis 木马中继承过来 , 目前作为主要的银行租赁恶意软件出现 。 Cerberus 提供的功能集合可以成功地从受感染设备中提取个人信息(PII) , 但是仍然缺少规避滥用信息和欺诈行为检测的功能 。 在 2020 年 1 月中旬 , Cerberus 的作者回复了一种旨在解决该问题的新变种 , 带有 RAT 功能 , 用于在受感染的设备上执行欺诈行为 。
这个 Cerberus 新变种进行了代码重构并更新了 C2 通信协议 , 但值得注意的是 , 它具有 RAT 功能 , 增强了从设备窃取屏幕滑动锁凭据(PIN 或解锁图案)和来自 Google Authenticator 应用程序的 2FA 令牌的可能性 。
RAT 服务能够遍历设备的文件系统并上载文件内容 。 最重要的是 , 它还可以启动 TeamViewer 并建立与其的连接 , 为恶意软件参与者提供对设备的远程访问功能 。
TeamViewer 开始工作后 , 它将为恶意软件参与者提供更多可能性 , 包括更改设备定位信息、安装或卸载应用 , 最需要注意的是它可以使用设备上的任何应用程序(例如银行应用、Messenger 和社交网络应用) 。 如果被用于间谍活动它还可以提供对被感染者习惯和行为的深度分析 。
以下代码展示了负责 TeamViewer 登陆和初始启动的逻辑:
Odaily星球日报■Cerberus:Android平台新型木马病毒
本文插图
通过简单的窗口覆盖来破解受感染设备的屏幕锁定凭据(PIN 或锁屏图案) , 使受害者解锁设备 。 从 RAT 的实现中 , 我们可以得出结论 , 盗窃屏幕锁定凭据是为了使参与者能够远程解锁设备 , 以便在受害者未使用设备时进行欺诈行为 。 这再次证实了犯罪分子对于制造有效木马的创造力 。
通过辅助功能服务提供的能力 , 木马现在还可以从 Google Authenticator 应用程序中窃取 2FA 代码 。 当应用程序运行时 , 木马程序可以获取设备窗口的内容并将其发送到 C2 服务器 。 还有 , 我们可以推断出该功能将用于绕过依赖 OTP(One Time Password 一次性密码) 代码的身份验证服务 。
这是 Google Authenticator 应用程序界面的示例:
Odaily星球日报■Cerberus:Android平台新型木马病毒


推荐阅读


上一篇:「CSDN」国产 14nm 迎曙光,进口荷兰光刻机顺利入厂!

下一篇:新京报■北京互联网法院:网络消费纠纷多发,今年已立案18起