Bankarski trojanac Cerberus pronađen u Google Play prodavnici

Mobilni telefoni, 09.07.2020, 09:31 AM

Bankarski trojanac Cerberus pronađen u Google Play prodavnici

U Google Play prodavnici otkrivena je Android aplikacija u kojoj je bio sakriven bankarski trojanac Cerberus. Aplikacija ima 10000 preuzimanja.

Istraživači iz kompanije Avast kažu da se trojanac krio u aplikaciji za konvertovanje španske valute nazvanoj „Calculadora de Moneda“, koja je Android korisnicima u Španiji dostupna od marta.

Kada se pokrene, Cerberus može da krade podatke za prijavu na bankovne račune žrtava i da prevari sigurnosne mehanizme, uključujući i dvofaktornu autentifikaciju (2FA).

Da bi se izbeglo otkrivanje, aplikacija je prvih nekoliko nedelja prisustva u Play prodavnici krila svoje loše namere. Za to vreme, aplikacija je izgledala kao legitimni konverter valuta, nije krala podatke, niti je nanela bilo kakvu štetu, rekao je David Ondrej iz Avasta.

Razlog je to što se verovatno pokušalo da aplikacija pridobije korisnike koji će je instalirati, pre nego što započne sa bilo kakvim zlonamernim aktivnostima koje bi mogle da privuku pažnju istraživača malvera ili Googleovog Play Protect tima, objašnjavaju u Avastu.

Sredinom juna, novije verzije konvertera valuta uključivale su ono što su istraživači nazivali „dropper-kod“, ali on još uvek nije bio aktiviran. Zatim je 1. jula započela druga faza, kada je aplikacija postala dropper, tiho preuzimajući malver na uređaje, a da o tome žrtve nisu ništa znale. Aplikacija je bila povezana sa serverom za komande i kontrolu (C2), koji je izdao novu naredbu za preuzimanje malvera Cerberus.

Cerberus ima razne funkcije špijuniranja i krađe poverljivih podataka. On čeka da se korisnik prijavi na svoj bankovni račun, i zatim prikazuje svoj prozor preko ekrana za prijavu i krade podatke koje korisnik unosi. Pored toga, trojanac ima mogućnost pristupa tekstualnim porukama žrtava, što znači da može videti kodove za dvofaktornu autentifikaciju poslate preko poruke.

„Koristi Androidovu funkciju pristupačnosti, kao i mehanizam napada preklapanjem, koji je tipičan za bankarske trojance, pa kada korisnik otvori svoju aplikaciju za bankarstvo, kreira se prekrivni ekran i prikupljaju podaci o prijavi korisnika“, objasnio je David Ondrej.

Istraživači su rekli da su C2 server i trojanac povezani sa ovom kampanjom bili aktivni do ponedeljka ove nedelje. Zatim je u ponedeljak uveče C2 server nestao i konvertor valuta na Google Play više nije sadržao trojanca.

Avast je obavestio Google o ovoj aplikaciji.

“Verzija na Google Play trenutno više ne sadrži dropper kod - aplikacija je ažurirana novom verzijom, koja je ponovo benigna”, rekao je David. „Možemo samo da nagađamo zašto napadači to rade. Moguće je da oni testiraju različite opcije pomoću ove aplikacije, uključujući da li i kada Google ili spoljni istraživači otkrivaju zlonamerni kod. Za sada od Googlea još nismo dobili odgovor. “

Cerberus se prvi put pojavio prošlog avgusta na hakerskim forumima, kao MaaS (malware-as-a-service). Tada je primećena nova verzija Cerberusa, sa znatno proširenim i sofisticiranijim mogućnostima prikupljanja informacija i mogućnošću pokretanja TeamViewera.

David je rekao da Android korisnici mogu da se zaštite tako što će obratiti pažnju na dozvole koje aplikacija zahteva i proveravajući ocene aplikacije. “Ako smatrate da aplikacija zahteva više nego što obećava da će dati, smatrajte to upozorenjem”, rekao je on.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje

Signal uveo podršku za korisnička imena u aplikaciji

Signal uveo podršku za korisnička imena u aplikaciji

Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje