Οι χάκερ στοχεύουν ενεργά τους χρήστες Android με μια νέα παραλλαγή του τραπεζικού Trojan Cerberus Android.
Android banking trojan: Το νέο κακόβουλο λογισμικό που κλέβει ύπουλα τα δεδομένα σας
Το κακόβουλο λογισμικό, που αναπτύσσεται από το 2019, έχει εξελιχθεί για να αλλάζει δυναμικά διακομιστές εντολών και ελέγχου και η εξελιγμένη αλυσίδα μόλυνσης περιπλέκει τον εντοπισμό και την αφαίρεσή του, αναφέρει το Cyble Research and Intelligence Labs (CRIL).
Οι κυβερνοεγκληματίες εντείνουν τις επικίνδυνες επιθέσεις από τον Σεπτέμβριο. Κανένας μηχανισμός προστασίας από ιούς δεν έχει εντοπίσει την ανανεωμένη έκδοση του Cerberus.
Για να αποφύγει τον εντοπισμό, το trojan περιλαμβάνει πλέον droppers που βασίζονται σε περιόδους λειτουργίας, εγγενείς βιβλιοθήκες και κρυπτογραφημένα ωφέλιμα φορτία. Χρησιμοποιεί καταγραφή πλήκτρων, επιθέσεις επικάλυψης και VNC (Virtual Network Computing, ένα πρωτόκολλο απομακρυσμένης κοινής χρήσης οθόνης).
Η καμπάνια δημιουργεί τομείς εν κινήσει χρησιμοποιώντας έναν αλγόριθμο δημιουργίας τομέα για την αλλαγή των διακομιστών εντολών και ελέγχου (C&C).
Οι ερευνητές της Cyble αρχικά υποψιάστηκαν ότι εξέταζαν μια εντελώς νέα παραλλαγή κακόβουλου λογισμικού. Μια βαθύτερη ανάλυση αποκάλυψε ομοιότητες κώδικα με τον Cerberus, ο οποίος εντοπίστηκε για πρώτη φορά το 2019. Ονόμασαν τη νέα καμπάνια ErrorFather με το αντίστοιχο αναγνωριστικό Bot Telegram.
Τι ακριβώς περιλαμβάνει;
«Έχουμε εντοπίσει περίπου 15 δείγματα που σχετίζονται με την καμπάνια ErrorFather, συμπεριλαμβανομένων των droppers που βασίζονται σε περιόδους σύνδεσης και των σχετικών ωφέλιμων φορτίων τους», είπαν οι ερευνητές.
Σημείωσαν ότι οι επιθέσεις συνεχίζονται και ορισμένοι διακομιστές C&C εξακολουθούν να είναι ενεργοί.
Οι επιτιθέμενοι βασίζονται στο ότι οι χρήστες κάνουν ένα λάθος – πέφτουν στο δόλωμα της κοινωνικής μηχανικής. Το κακόβουλο λογισμικό μεταμφιέζεται σε νόμιμες εφαρμογές ή ενημερώσεις τραπεζικής ή ελέγχου ταυτότητας και χρησιμοποιεί εικονίδια Google Play και Chrome. Οι εισβολείς χρησιμοποιούν ιστότοπους phishing για διανομή κακόβουλου λογισμικού.
Σε τι διαφέρει το Cerberus Android Banking Trojan
Το Cerberus Android Banking Trojan αναγνωρίστηκε για πρώτη φορά το 2019 σε υπόγεια φόρουμ ως εργαλείο ενοικίασης που χρησιμοποιείται για οικονομικές απάτες. Η βάση κωδικών που διέρρευσε επεκτάθηκε γρήγορα σε πολλαπλά forks, με ορισμένες καμπάνιες να στοχεύουν εκατοντάδες εφαρμογές οικονομικών και μέσων κοινωνικής δικτύωσης.
Το πρώτο στάδιο είναι μια εφαρμογή που ρίχνει και εγκαθιστά το δεύτερο στάδιο από τα στοιχεία ενεργητικού της. Χρησιμοποιεί μια τεχνική εγκατάστασης που βασίζεται σε συνεδρία, παρακάμπτοντας περιορισμένες ρυθμίσεις.
Το dropper δεύτερου σταδίου ζητά επικίνδυνες άδειες και υπηρεσίες, αλλά η εφαρμογή κώδικα λείπει, υποδεικνύοντας ότι το κακόβουλο λογισμικό είναι γεμάτο. Φορτώνει και αποκρυπτογραφεί αμέσως ένα αρχείο για την τελική εκτέλεση ωφέλιμου φορτίου.
Το τελικό στάδιο περιέχει κακόβουλες λειτουργίες για καταγραφή πλήκτρων, επικάλυψη, απομακρυσμένη επικοινωνία και συλλογή προσωπικών δεδομένων. Χρησιμοποιεί επίσης έναν αλγόριθμο δημιουργίας τομέα για εναλλαγή μεταξύ διακομιστών C&C όταν ο κύριος διακομιστής δεν είναι διαθέσιμος. Καμία μηχανή προστασίας από ιούς στο VirusTotal δεν εντόπισε το τελικό αρχείο ωφέλιμου φορτίου.
Μετά την εγκατάσταση και τη δημιουργία μιας σύνδεσης με τον κύριο διακομιστή C&C, που αναφέρεται από τον παράγοντα απειλών ως «PoisonConnect», το κακόβουλο λογισμικό λαμβάνει μια λίστα με «τέσσερις επιπλέον διακομιστές C&C», ανέφεραν οι ερευνητές.
Το κακόβουλο λογισμικό χρησιμοποιεί κρυπτογραφημένες επικοινωνίες και χρησιμοποιεί τη ζώνη ώρας της Κωνσταντινούπολης για την ώρα και την ημερομηνία.
Βίντεο
VIA: FoxReport.gr
