Cerberus, el nuevo troyano bancario disponible como malware como servicio
Después de que algunos troyanos populares de Android como Anubis, Red Alert 2.0, GM bot y Exobot abandonaron sus negocios de malware como servicio, ha surgido un nuevo jugador en Internet con capacidades similares para llenar el vacío, este ofrece alquiler de bot de Android como servicio a las masas.
Llamado “Cerberus”, el nuevo troyano de acceso remoto permite a los atacantes tomar el control total sobre los dispositivos Android infectados y también viene con capacidades de troyanos bancarias, como el uso de ataques de superposición, control de SMS y recolección de listas de contactos.
Según el autor de este malware, que es sorprendentemente social en Twitter y se burla abiertamente de los investigadores de seguridad y la industria antivirus, Cerberus ha sido codificado desde cero y no reutiliza ningún código de otros troyanos bancarios existentes.
El autor también afirma haber estado usando el troyano para operaciones privadas, durante al menos dos años, antes de alquilarlo para cualquier persona interesada en los últimos dos meses; los precios son los siguiente: $2000 por 1 mes de uso, $7000 por 6 meses y hasta $12,000 por 12 meses.
Video- Cerberus:
Este contenido se encuentra parcialmente protegido
Según los investigadores de seguridad de ThreatFabric que analizaron una muestra del troyano Cerberus, el malware tiene una lista bastante común de características, como por ejemplo:
- Tomar capturas de pantalla
- Grabación de audio
- Grabación de registros de teclas
- Enviar, recibir y eliminar SMS,
- Robar listas de contactos
- Reenvío de llamadas
- Recolectar información del dispositivo
- Seguimiento de ubicación del dispositivo
- Robar credenciales de cuenta,
- Deshabilitar Play Protect
- Descargar aplicaciones y payloads adicionales
- Eliminar aplicaciones del dispositivo infectado
- Notificaciones push
- Bloquear pantalla del dispositivo
Una vez infectado, Cerberus primero oculta su icono de la aplicación y luego solicita el permiso de accesibilidad haciéndose pasar por Flash Player Service. Si se otorga, el malware registra automáticamente el dispositivo comprometido en su servidor de comando y control, lo que permite al comprador/atacante controlar el dispositivo de forma remota.
Para robar los números de tarjeta de crédito de los usuarios, las credenciales bancarias y las contraseñas para otras cuentas en línea, Cerberus permite a los atacantes lanzar ataques de superposición de pantalla desde su tablero remoto.
En el ataque de superposición de pantalla, el troyano muestra una superposición sobre aplicaciones de banca móvil legítimas y engaña a los usuarios de Android, para que ingresen sus credenciales bancarias en la pantalla de inicio de sesión falsa, como un ataque de phishing.
“El bot se aprovecha del privilegio del servicio de accesibilidad para obtener el nombre del paquete de la aplicación en primer plano, y determinar si mostrar o no una ventana de superposición de phishing”, dijeron los investigadores.
Según los investigadores, Cerberus ya contiene plantillas de ataque superpuesto para un total de 30 objetivos únicos, que incluyen:
- 7 aplicaciones bancarias francesas
- 7 aplicaciones bancarias de Estados Unidos
- 1 aplicación bancaria japonesa
- 15 aplicaciones no bancarias
Cerberus utiliza táctica de evasión basada en movimiento
Cerberus también utiliza algunas técnicas interesantes para evadir la detección de soluciones antivirus y evitar su análisis, como usar el sensor del acelerómetro del dispositivo para medir los movimientos de la víctima.
La idea es sencilla: a medida que el usuario se mueve, su dispositivo Android generalmente genera cierta cantidad de datos del sensor de movimiento.
El malware monitorea los pasos del usuario a través del sensor de movimiento del dispositivo para verificar si se está ejecutando en un dispositivo Android real.
“El troyano usa este contador para activar el bot; si el contador de pasos mencionado anteriormente alcanza el umbral preconfigurado, considera que la ejecución en el dispositivo es segura”, explican los investigadores.
“Esta simple medida evita que el troyano se ejecute y se analice en entornos de análisis dinámico (sandbox) y en los dispositivos de prueba de analistas de malware”.
Si el dispositivo del usuario carece de datos del sensor, el malware asume que se están ejecutando en una sandbox o emulador sin sensores de movimiento y no ejecutará el código malicioso.
Sin embargo, esta técnica tampoco es única y ha sido implementada previamente por el popular troyano bancario Android ‘Anubis’.
Cabe señalar que el malware Cerberus no aprovecha ninguna vulnerabilidad para instalarse automáticamente en un dispositivo de destino en primer lugar. En cambio, la instalación de malware se basa en tácticas de ingeniería social.
Por lo tanto, para protegerse de convertirte en víctimas de tales amenazas de malware, se recomienda que tengas cuidado con lo que descargas en tu teléfono y que definitivamente pienses tres veces antes de subir cosas también.
