Después de que algunos troyanos populares de Android como  Anubis ,  Red Alert 2.0 ,  GM bot y Exobot abandonaron sus negocios de malware como servicio, ha surgido un nuevo jugador en Internet con capacidades similares para llenar el vacío, que ofrece alquiler de bot de Android servicio a las masas.

Apodado » Cerberus » , el nuevo troyano de acceso remoto permite a los atacantes remotos tomar el control total sobre los dispositivos Android infectados y también viene con capacidades bancarias de troyanos como el uso de ataques de superposición, control de SMS y recolección de listas de contactos.

Según el autor de este malware, que es sorprendentemente social en Twitter y se burla abiertamente de los investigadores de seguridad y la industria antivirus, Cerberus ha sido codificado desde cero y no reutiliza ningún código de otros troyanos bancarios existentes.

El autor también afirmó estar usando el troyano para operaciones privadas durante al menos dos años antes de alquilarlo para cualquier persona interesada en los últimos dos meses a $ 2000 por 1 mes de uso, $ 7000 por 6 meses y hasta $ 12,000 por 12 meses.

Troyano bancario Cerberus: características

 

Según los investigadores de seguridad de Threat Fabric que analizaron una muestra del troyano Cerberus, el malware tiene una lista bastante común de características, como:

  • tomando capturas de pantalla
  • grabación de audio
  • grabación de registros de teclas
  • enviar, recibir y eliminar SMS,
  • robar listas de contactos
  • reenvío de llamadas
  • recolectando información del dispositivo
  • Ubicación del dispositivo de seguimiento
  • robar credenciales de cuenta,
  • deshabilitar Play Protect
  • descargando aplicaciones y cargas adicionales
  • eliminar aplicaciones del dispositivo infectado
  • notificaciones push
  • pantalla del dispositivo de bloqueo

Una vez infectado, Cerberus primero oculta su icono del cajón de la aplicación y luego solicita el permiso de accesibilidad haciéndose pasar por Flash Player Service. Si se otorga, el malware registra automáticamente el dispositivo comprometido en su servidor de comando y control, lo que permite al comprador / atacante controlar el dispositivo de forma remota.

Para robar los números de tarjeta de crédito de los usuarios, las credenciales bancarias y las contraseñas para otras cuentas en línea, Cerberus permite a los atacantes lanzar ataques de superposición de pantalla desde su tablero remoto.

En el ataque de superposición de pantalla, el troyano muestra una superposición sobre aplicaciones de banca móvil legítimas y engaña a los usuarios de Android para que ingresen sus credenciales bancarias en la pantalla de inicio de sesión falsa, como un ataque de phishing.

«El bot abusa del privilegio del servicio de accesibilidad para obtener el nombre del paquete de la aplicación en primer plano y determinar si mostrar o no una ventana de superposición de phishing», dijeron los investigadores.

 

malware bancario android

Según los investigadores, Cerberus ya contiene plantillas de ataque superpuesto para un total de 30 objetivos únicos, que incluyen:

  • 7 aplicaciones bancarias francesas
  • 7 aplicaciones bancarias de EE. UU.
  • 1 aplicación bancaria japonesa
  • 15 aplicaciones no bancarias

 

Cerberus utiliza táctica de evasión basada en movimiento

Cerberus también utiliza algunas técnicas interesantes para evadir la detección de soluciones antivirus y evitar su análisis, como usar el sensor del acelerómetro del dispositivo para medir los movimientos de la víctima.

La idea es sencilla: a medida que el usuario se mueve, su dispositivo Android generalmente genera cierta cantidad de datos del sensor de movimiento. El malware monitorea los pasos del usuario a través del sensor de movimiento del dispositivo para verificar si se está ejecutando en un dispositivo Android real.

«El troyano usa este contador para activar el bot; si el contador de pasos mencionado anteriormente alcanza el umbral preconfigurado, considera que la ejecución en el dispositivo es segura», explican los investigadores.

«Esta simple medida evita que el troyano se ejecute y se analice en entornos de análisis dinámico (cajas de arena) y en los dispositivos de prueba de analistas de malware».

Si el dispositivo del usuario carece de datos del sensor, el malware asume que la caja de arena para escanear malware es un emulador sin sensores de movimiento y no ejecutará el código malicioso.

Sin embargo, esta técnica tampoco es única y ha sido implementada previamente por el popular troyano bancario Android ‘Anubis’ .

Cabe señalar que el malware Cerberus no aprovecha ninguna vulnerabilidad para instalarse automáticamente en un dispositivo de destino en primer lugar. En cambio, la instalación de malware se basa en tácticas de ingeniería social.

Por lo tanto, para protegerse de convertirse en víctimas de tales amenazas de malware, se recomienda que tenga cuidado con lo que descarga en su teléfono y que definitivamente piense tres veces antes de cargar también.

Fuente: thehackernews.com

Compartir