Bankarski trojanac Cerberus pronađen u Google Play prodavnici

Mobilni telefoni, 09.07.2020, 09:31 AM

Bankarski trojanac Cerberus pronađen u Google Play prodavnici

U Google Play prodavnici otkrivena je Android aplikacija u kojoj je bio sakriven bankarski trojanac Cerberus. Aplikacija ima 10000 preuzimanja.

Istraživači iz kompanije Avast kažu da se trojanac krio u aplikaciji za konvertovanje španske valute nazvanoj „Calculadora de Moneda“, koja je Android korisnicima u Španiji dostupna od marta.

Kada se pokrene, Cerberus može da krade podatke za prijavu na bankovne račune žrtava i da prevari sigurnosne mehanizme, uključujući i dvofaktornu autentifikaciju (2FA).

Da bi se izbeglo otkrivanje, aplikacija je prvih nekoliko nedelja prisustva u Play prodavnici krila svoje loše namere. Za to vreme, aplikacija je izgledala kao legitimni konverter valuta, nije krala podatke, niti je nanela bilo kakvu štetu, rekao je David Ondrej iz Avasta.

Razlog je to što se verovatno pokušalo da aplikacija pridobije korisnike koji će je instalirati, pre nego što započne sa bilo kakvim zlonamernim aktivnostima koje bi mogle da privuku pažnju istraživača malvera ili Googleovog Play Protect tima, objašnjavaju u Avastu.

Sredinom juna, novije verzije konvertera valuta uključivale su ono što su istraživači nazivali „dropper-kod“, ali on još uvek nije bio aktiviran. Zatim je 1. jula započela druga faza, kada je aplikacija postala dropper, tiho preuzimajući malver na uređaje, a da o tome žrtve nisu ništa znale. Aplikacija je bila povezana sa serverom za komande i kontrolu (C2), koji je izdao novu naredbu za preuzimanje malvera Cerberus.

Cerberus ima razne funkcije špijuniranja i krađe poverljivih podataka. On čeka da se korisnik prijavi na svoj bankovni račun, i zatim prikazuje svoj prozor preko ekrana za prijavu i krade podatke koje korisnik unosi. Pored toga, trojanac ima mogućnost pristupa tekstualnim porukama žrtava, što znači da može videti kodove za dvofaktornu autentifikaciju poslate preko poruke.

„Koristi Androidovu funkciju pristupačnosti, kao i mehanizam napada preklapanjem, koji je tipičan za bankarske trojance, pa kada korisnik otvori svoju aplikaciju za bankarstvo, kreira se prekrivni ekran i prikupljaju podaci o prijavi korisnika“, objasnio je David Ondrej.

Istraživači su rekli da su C2 server i trojanac povezani sa ovom kampanjom bili aktivni do ponedeljka ove nedelje. Zatim je u ponedeljak uveče C2 server nestao i konvertor valuta na Google Play više nije sadržao trojanca.

Avast je obavestio Google o ovoj aplikaciji.

“Verzija na Google Play trenutno više ne sadrži dropper kod - aplikacija je ažurirana novom verzijom, koja je ponovo benigna”, rekao je David. „Možemo samo da nagađamo zašto napadači to rade. Moguće je da oni testiraju različite opcije pomoću ove aplikacije, uključujući da li i kada Google ili spoljni istraživači otkrivaju zlonamerni kod. Za sada od Googlea još nismo dobili odgovor. “

Cerberus se prvi put pojavio prošlog avgusta na hakerskim forumima, kao MaaS (malware-as-a-service). Tada je primećena nova verzija Cerberusa, sa znatno proširenim i sofisticiranijim mogućnostima prikupljanja informacija i mogućnošću pokretanja TeamViewera.

David je rekao da Android korisnici mogu da se zaštite tako što će obratiti pažnju na dozvole koje aplikacija zahteva i proveravajući ocene aplikacije. “Ako smatrate da aplikacija zahteva više nego što obećava da će dati, smatrajte to upozorenjem”, rekao je on.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Googleova usluga provere lozinki dolazi na Android

Googleova usluga provere lozinki dolazi na Android

Google dodaje podršku za uslugu provere lozinke (Password Checkup) Android aplikacijama putem funkcije automatskog popunjavanja lozinki kako bi upozo... Dalje

SHAREit (najzad) uklonio opasne ranjivosti iz svoje aplikacije za Android

SHAREit (najzad) uklonio opasne ranjivosti iz svoje aplikacije za Android

Smart Media4U Technology sa sedištem u Singapuru objavila je da je popravila bagove u svojoj aplikaciji SHAREit koji su mogli omogućiti napadačima... Dalje

WhatsApp ponovo pokušao da objasni novu politiku privatnosti, a evo šta će se dogoditi posle 15. maja onima koji je ne prihvate

WhatsApp ponovo pokušao da objasni novu politiku privatnosti, a evo šta će se dogoditi posle 15. maja onima koji je ne prihvate

WhatsApp je na svom veb sajtu još jednom pokušao da objasni šta će se dogoditi sa korisnicima koji ne prihvate njegovu novu politiku privatnosti ... Dalje

Popularna aplikacija sa više od milijardu korisnika ima opasne ranjivosti koje proizvođač ni posle 3 meseca nije otklonio

Popularna aplikacija sa više od milijardu korisnika ima opasne ranjivosti koje proizvođač ni posle 3 meseca nije otklonio

Android aplikacija koja je preuzeta više od milijardu puta ima greške koje proizvođač aplikacije nije uspeo da otkloni više od tri meseca, a koje... Dalje

Slack zatražio od korisnika Android aplikacije da odmah promene lozinku

Slack zatražio od korisnika Android aplikacije da odmah promene lozinku

Pre nešto više od godinu i po dana Slack je otkrio da je 2015. hakovan, i da su tom prilikom kompromitovani podaci na hiljade njegovih korisnika. Da... Dalje