在Anubis, Red Alert 2.0, GM bot和Exobot 等几个流行的Android特洛伊木马 退出他们的恶意软件即服务业务之后,互联网上出现了一个新的播放器,具有类似的功能来填补空白,提供Android机器人租赁服务为群众服务。
被称为“ Cerberus ”的新远程访问木马允许远程攻击者完全控制受感染的Android设备,还具有银行木马功能,如使用覆盖攻击,短信控制和联系人列表收集。
根据这个恶意软件的作者,他在Twitter上出人意料地社交并公开嘲笑安全研究人员和反病毒行业,Cerberus已经从头开始编码,并且不会重复使用来自其他现有银行特洛伊木马的任何代码。
提交人还声称将该特洛伊木马用于私人业务至少两年,然后将其租赁给过去两个月感兴趣的人,每月使用2000美元,使用期为6个月,最多12个月为12,000美元。
Cerberus Banking Trojan:功能
根据ThreatFabric的安全研究人员分析了Cerberus木马的样本,该恶意软件有一个非常常见的功能列表,例如:
截图
录制音频
录制键盘
发送,接收和删除短信,
窃取联系人列表
转发电话
收集设备信息
跟踪设备位置
窃取帐户凭据,
禁用Play Protect
下载其他应用和有效负载
从受感染的设备中删除应用
推送通知
锁定设备的屏幕
一旦被感染,Cerberus首先从应用程序抽屉中隐藏其图标,然后通过伪装成Flash Player服务来请求可访问性权限。如果被授予,恶意软件会自动将受感染的设备注册到其命令和控制服务器,从而允许买方/攻击者远程控制设备。
为了窃取用户的信用卡号码,银行凭证和其他在线帐户的密码,Cerberus让攻击者从其远程仪表板发起屏幕覆盖攻击。
在屏幕覆盖攻击中,特洛伊木马在合法的移动银行应用程序之上显示叠加层,并欺骗Android用户将其银行凭据输入虚假登录屏幕,就像网络钓鱼攻击一样。
“机器人滥用可访问性服务权限来获取前台应用程序的包名,并确定是否显示网络钓鱼覆盖窗口,”研究人员说。
根据研究人员的说法,Cerberus已经包含了总共30个独特目标的叠加攻击模板,包括:
7个法国银行应用
7个美国银行应用
1日本银行应用程序
15个非银行应用程序
Cerberus使用基于运动的逃避策略
Cerberus还使用一些有趣的技术来逃避防病毒解决方案的检测,并阻止其分析,例如使用设备加速计传感器来测量受害者的移动。
这个想法很简单 - 当用户移动时,他们的Android设备通常会生成一些运动传感器数据。恶意软件通过设备运动传感器监控用户的步骤,以检查它是否在真正的Android设备上运行。
“特洛伊木马使用这个计数器来激活机器人 - 如果上述步骤计数器达到它认为在设备上运行的预配置阈值是安全的,”研究人员解释说。
“这个简单的措施可以防止特洛伊木马在动态分析环境(沙箱)和恶意软件分析师的测试设备上运行和分析。”
如果用户的设备缺少传感器数据,则恶意软件会假定用于扫描恶意软件的沙箱是没有运动传感器的仿真器,并且不会运行恶意代码。
然而,这种技术也不是独一无二的,并且之前已经由流行的Android银行木马'Anubis'实现。
应该注意的是,Cerberus恶意软件首先没有利用任何漏洞自动安装在目标设备上。相反,恶意软件安装依赖于社交工程策略。
因此,为了保护自己免受此类恶意软件威胁的攻击,建议您小心在手机上下载的内容,并且在加载内容之前一定要考虑三次。
了解更多手机加密解密,请关注智块360加密!
领取专属 10元无门槛券
私享最新 技术干货