Bankarski trojanac Cerberus pronađen u Google Play prodavnici

Mobilni telefoni, 09.07.2020, 09:31 AM

Bankarski trojanac Cerberus pronađen u Google Play prodavnici

U Google Play prodavnici otkrivena je Android aplikacija u kojoj je bio sakriven bankarski trojanac Cerberus. Aplikacija ima 10000 preuzimanja.

Istraživači iz kompanije Avast kažu da se trojanac krio u aplikaciji za konvertovanje španske valute nazvanoj „Calculadora de Moneda“, koja je Android korisnicima u Španiji dostupna od marta.

Kada se pokrene, Cerberus može da krade podatke za prijavu na bankovne račune žrtava i da prevari sigurnosne mehanizme, uključujući i dvofaktornu autentifikaciju (2FA).

Da bi se izbeglo otkrivanje, aplikacija je prvih nekoliko nedelja prisustva u Play prodavnici krila svoje loše namere. Za to vreme, aplikacija je izgledala kao legitimni konverter valuta, nije krala podatke, niti je nanela bilo kakvu štetu, rekao je David Ondrej iz Avasta.

Razlog je to što se verovatno pokušalo da aplikacija pridobije korisnike koji će je instalirati, pre nego što započne sa bilo kakvim zlonamernim aktivnostima koje bi mogle da privuku pažnju istraživača malvera ili Googleovog Play Protect tima, objašnjavaju u Avastu.

Sredinom juna, novije verzije konvertera valuta uključivale su ono što su istraživači nazivali „dropper-kod“, ali on još uvek nije bio aktiviran. Zatim je 1. jula započela druga faza, kada je aplikacija postala dropper, tiho preuzimajući malver na uređaje, a da o tome žrtve nisu ništa znale. Aplikacija je bila povezana sa serverom za komande i kontrolu (C2), koji je izdao novu naredbu za preuzimanje malvera Cerberus.

Cerberus ima razne funkcije špijuniranja i krađe poverljivih podataka. On čeka da se korisnik prijavi na svoj bankovni račun, i zatim prikazuje svoj prozor preko ekrana za prijavu i krade podatke koje korisnik unosi. Pored toga, trojanac ima mogućnost pristupa tekstualnim porukama žrtava, što znači da može videti kodove za dvofaktornu autentifikaciju poslate preko poruke.

„Koristi Androidovu funkciju pristupačnosti, kao i mehanizam napada preklapanjem, koji je tipičan za bankarske trojance, pa kada korisnik otvori svoju aplikaciju za bankarstvo, kreira se prekrivni ekran i prikupljaju podaci o prijavi korisnika“, objasnio je David Ondrej.

Istraživači su rekli da su C2 server i trojanac povezani sa ovom kampanjom bili aktivni do ponedeljka ove nedelje. Zatim je u ponedeljak uveče C2 server nestao i konvertor valuta na Google Play više nije sadržao trojanca.

Avast je obavestio Google o ovoj aplikaciji.

“Verzija na Google Play trenutno više ne sadrži dropper kod - aplikacija je ažurirana novom verzijom, koja je ponovo benigna”, rekao je David. „Možemo samo da nagađamo zašto napadači to rade. Moguće je da oni testiraju različite opcije pomoću ove aplikacije, uključujući da li i kada Google ili spoljni istraživači otkrivaju zlonamerni kod. Za sada od Googlea još nismo dobili odgovor. “

Cerberus se prvi put pojavio prošlog avgusta na hakerskim forumima, kao MaaS (malware-as-a-service). Tada je primećena nova verzija Cerberusa, sa znatno proširenim i sofisticiranijim mogućnostima prikupljanja informacija i mogućnošću pokretanja TeamViewera.

David je rekao da Android korisnici mogu da se zaštite tako što će obratiti pažnju na dozvole koje aplikacija zahteva i proveravajući ocene aplikacije. “Ako smatrate da aplikacija zahteva više nego što obećava da će dati, smatrajte to upozorenjem”, rekao je on.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zbog prikupljanja podataka, Google iz Play prodavnice uklonio dve aplikacije

Zbog prikupljanja podataka, Google iz Play prodavnice uklonio dve aplikacije

Dve Android aplikacije kineskog tehnološkog giganta Baidu uklonjene su iz Google Play prodavnice krajem oktobra. Aplikacije Baidu Maps i Baidu Search... Dalje

Lažni Minecraft modovi instalirani na više od milion Android uređaja čine njihovo korišćenje nemogućim

Lažni Minecraft modovi instalirani na više od milion Android uređaja čine njihovo korišćenje nemogućim

Prevaranti su još jednom uspeli da zaobiđu Googleovu zaštitu Play prodavnice i objavili više od 20 lažnih mod-paketa za popularnu igru Minecraft.... Dalje

Upozorenje na WhatsAppu o opasnom fajlu koji hakuje telefon za 10 sekundi je lažno, ne šaljite ovu poruku nikome

Upozorenje na WhatsAppu o opasnom fajlu koji hakuje telefon za 10 sekundi je lažno, ne šaljite ovu poruku nikome

WhatsAppom cirkuliše upozorenje o videu pod nazivom “India is doing it” za koji se tvrdi da može da hakuje telefon deset sekundi posle o... Dalje

Bag u Facebook Messengeru omogućava korisnicima da prisluškuju jedni druge

Bag u Facebook Messengeru omogućava korisnicima da prisluškuju jedni druge

Facebook je otklonio bag u aplikaciji Facebook Messenger za Android koji je omogućavao pozivaocima da prisluškuju okruženje drugih korisnika pre n... Dalje

Popularna Android aplikacija GO SMS Pro može da otkrije privatne poruke, fotografije i video snimke korisnika

Popularna Android aplikacija GO SMS Pro može da otkrije privatne poruke, fotografije i video snimke korisnika

GO SMS Pro, popularna aplikacija za slanje poruka za Android, sa više od 100 miliona instaliranja, ima bag koji javno izlaže glasovne poruke, fotogr... Dalje