关于木马病毒的安全评估：Cerberus-Android 平台新型木马病毒

关于木马病毒的安全评估：Cerberus-Android 平台新型木马病毒尽管 Cerberus 还不够成熟，无法提供一套 Android 平台银行恶意软件完整功能【例如 RAT（remote access Trojan 远程访问木马），带有 ATS（Automated Transaction Script 自动交易脚本）的 RAT、反向连接代理、媒体录制】或提供相近的目标列表，但对于 Cerberus 不能掉以轻心 。这个不常见的目标列表可能来源于特定的客户需求，或者是由于某些参与者重用了部分现有目标列表。网络钓鱼窗口覆盖的一些示例如下图所示。它们有两种类型：凭据窃取程序（前面两个）和信用卡信息抓取器（最后一个）。附录中提供了在市面上观察到的明确的 30 个活跃应用目标的列表。实际目标列表包含：

Cerberus 功能

Cerberus 恶意软件具有和其他大多数 Android 平台银行木马相同的功能，例如使用窗口覆盖攻击、短信控制和收集联系人列表。该木马还可以利用按键记录来扩大攻击范围。总体而言，Cerberus 具有相当普遍的功能列表。尽管该恶意软件是重新编写的，但目前似乎没有任何创新功能。例如，一些更高级的银行木马现在提供注入反向连接代理，录屏甚至远程控制等功能。

Cerberus 嵌入了如下功能，可让自己保持在监控之下并成功实施攻击：

• Overlaying（窗口覆盖）: 动态 (从 C2 获取界面劫持信息)
• 按键记录
• SMS harvesting：短信列表
• SMS harvesting：短信转发
• 手机设备信息
• 收集联系人列表
• 收集应用程序列表
• 定位信息收集
• Overlaying（窗口覆盖）：目标列表更新
• SMS: 短信发送
• Calls: 请求生成 USSD
• Calls: 呼叫转移
• Remote actions：应用安装
• Remote actions：应用启动
• Remote actions：应用移除
• Remote actions：展示任意网页
• Remote actions：屏幕锁定
• Notifications：通知推送
• C2 Resilience：辅助 C2 列表
• Self-protection：隐藏应用图标
• Self-protection：防止被移除
• Self-protection：模拟器检测
• Architecture：模块化

覆盖攻击

大多数 Android 平台银行木马使用窗口覆盖攻击来诱骗用户提供其个人信息（包括但不仅限于：信用卡信息、银行凭据、邮件凭据），Cerberus 也不例外。在这种特殊情况下，该自动化程序会滥用辅助功能服务来获取前台应用程序的应用程序包名称，并确定是否显示网络钓鱼覆盖窗口，例如如下代码片段所示：

攻击目标

网络钓鱼窗口覆盖的一些示例如下图所示。它们有两种类型：凭据窃取程序（前面两个）和信用卡信息抓取器（最后一个）。

附录中提供了在市面上观察到的明确的 30 个活跃应用目标的列表。

实际目标列表包含：

• 7 种法国银行应用程序
• 7 种美国银行应用程序
• 1 个日本银行应用程序
• 15 个非银行应用

这个不常见的目标列表可能来源于特定的客户需求，或者是由于某些参与者重用了部分现有目标列表。

结论

尽管 Cerberus 还不够成熟，无法提供一套 Android 平台银行恶意软件完整功能【例如 RAT（remote access Trojan 远程访问木马），带有 ATS（Automated Transaction Script 自动交易脚本）的 RAT、反向连接代理、媒体录制】或提供相近的目标列表，但对于 Cerberus 不能掉以轻心 。

由于地下社区当前缺乏维护和受支持的服务即 Android 平台银行恶意软件，肯定有一个新的服务需求。Cerberus 已经有能力满足这一需求。除了它已经拥有的功能列表以及可从租金赚取收益之外，它会不断演变，以演变成为最强大的 Android 平台银行木马。除了这些功能，预计目标列表将在不远的将来扩展，以包含其他（银行）应用。

目前 Cerberus 仍是一种市面上活跃的新型木马。

附录

样品

下面是市面上发现的一些的 Cerberus 样本。

列表 1：