Bankarski trojanac Cerberus pronađen u Google Play prodavnici

Mobilni telefoni, 09.07.2020, 09:31 AM

Bankarski trojanac Cerberus pronađen u Google Play prodavnici

U Google Play prodavnici otkrivena je Android aplikacija u kojoj je bio sakriven bankarski trojanac Cerberus. Aplikacija ima 10000 preuzimanja.

Istraživači iz kompanije Avast kažu da se trojanac krio u aplikaciji za konvertovanje španske valute nazvanoj „Calculadora de Moneda“, koja je Android korisnicima u Španiji dostupna od marta.

Kada se pokrene, Cerberus može da krade podatke za prijavu na bankovne račune žrtava i da prevari sigurnosne mehanizme, uključujući i dvofaktornu autentifikaciju (2FA).

Da bi se izbeglo otkrivanje, aplikacija je prvih nekoliko nedelja prisustva u Play prodavnici krila svoje loše namere. Za to vreme, aplikacija je izgledala kao legitimni konverter valuta, nije krala podatke, niti je nanela bilo kakvu štetu, rekao je David Ondrej iz Avasta.

Razlog je to što se verovatno pokušalo da aplikacija pridobije korisnike koji će je instalirati, pre nego što započne sa bilo kakvim zlonamernim aktivnostima koje bi mogle da privuku pažnju istraživača malvera ili Googleovog Play Protect tima, objašnjavaju u Avastu.

Sredinom juna, novije verzije konvertera valuta uključivale su ono što su istraživači nazivali „dropper-kod“, ali on još uvek nije bio aktiviran. Zatim je 1. jula započela druga faza, kada je aplikacija postala dropper, tiho preuzimajući malver na uređaje, a da o tome žrtve nisu ništa znale. Aplikacija je bila povezana sa serverom za komande i kontrolu (C2), koji je izdao novu naredbu za preuzimanje malvera Cerberus.

Cerberus ima razne funkcije špijuniranja i krađe poverljivih podataka. On čeka da se korisnik prijavi na svoj bankovni račun, i zatim prikazuje svoj prozor preko ekrana za prijavu i krade podatke koje korisnik unosi. Pored toga, trojanac ima mogućnost pristupa tekstualnim porukama žrtava, što znači da može videti kodove za dvofaktornu autentifikaciju poslate preko poruke.

„Koristi Androidovu funkciju pristupačnosti, kao i mehanizam napada preklapanjem, koji je tipičan za bankarske trojance, pa kada korisnik otvori svoju aplikaciju za bankarstvo, kreira se prekrivni ekran i prikupljaju podaci o prijavi korisnika“, objasnio je David Ondrej.

Istraživači su rekli da su C2 server i trojanac povezani sa ovom kampanjom bili aktivni do ponedeljka ove nedelje. Zatim je u ponedeljak uveče C2 server nestao i konvertor valuta na Google Play više nije sadržao trojanca.

Avast je obavestio Google o ovoj aplikaciji.

“Verzija na Google Play trenutno više ne sadrži dropper kod - aplikacija je ažurirana novom verzijom, koja je ponovo benigna”, rekao je David. „Možemo samo da nagađamo zašto napadači to rade. Moguće je da oni testiraju različite opcije pomoću ove aplikacije, uključujući da li i kada Google ili spoljni istraživači otkrivaju zlonamerni kod. Za sada od Googlea još nismo dobili odgovor. “

Cerberus se prvi put pojavio prošlog avgusta na hakerskim forumima, kao MaaS (malware-as-a-service). Tada je primećena nova verzija Cerberusa, sa znatno proširenim i sofisticiranijim mogućnostima prikupljanja informacija i mogućnošću pokretanja TeamViewera.

David je rekao da Android korisnici mogu da se zaštite tako što će obratiti pažnju na dozvole koje aplikacija zahteva i proveravajući ocene aplikacije. “Ako smatrate da aplikacija zahteva više nego što obećava da će dati, smatrajte to upozorenjem”, rekao je on.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Twitter za Android ima bag koji omogućava napadačima da pristupe privatnim porukama korisnika

Twitter za Android ima bag koji omogućava napadačima da pristupe privatnim porukama korisnika

Twitter je objavio da je popravio bezbednosni propust u aplikaciji Twitter za Android koji bi mogao omogućiti napadačima da dobiju pristup privatni... Dalje

Slabosti u popularnoj aplikaciji za upoznavanje OkCupid mogu omogućiti hakerima da čitaju poruke korisnika

Slabosti u popularnoj aplikaciji za upoznavanje OkCupid mogu omogućiti hakerima da čitaju poruke korisnika

Istraživači kompanije Check Point upozorili su na nekoliko bezbednosnih problema na popularnoj platformi za online upoznavanje OkCupid koji mogu omo... Dalje

iOS14 otkrio: Instagram uključuje kameru čak i dok samo gledate fotografije u aplikaciji

iOS14 otkrio: Instagram uključuje kameru čak i dok samo gledate fotografije u aplikaciji

Posle baga koji je otkriven u Firefoxu za Android zbog koga kamera telefona ostaje aktivna kada aplikacija radi u pozadini ili čak i kada je telefon ... Dalje

''BadPower'' napad na punjač može uništiti pametni telefon

''BadPower'' napad na punjač može uništiti pametni telefon

Istraživači iz kineske firme Tencent testirali su BadPower napade na 35 modela punjača za brzo punjenje od 234 dostupna na tržištu, i ispostavilo... Dalje

Google iz Play prodavnice uklonio 29 zlonamernih aplikacija za uređivanje fotografija

Google iz Play prodavnice uklonio 29 zlonamernih aplikacija za uređivanje fotografija

Istraživači iz White Ops Satori Threat otkrili su 29 zlonamernih Android aplikacija u Play prodavnici koje imaju ukupno 3,5 miliona preuzimanja i ko... Dalje