关于木马病毒的安全评估:Cerberus-Android 平台新型木马病毒
关于木马病毒的安全评估:Cerberus-Android 平台新型木马病毒通过辅助功能服务提供的能力,木马现在还可以从 Google Authenticator 应用程序中窃取 2FA 代码。当应用程序运行时,木马程序可以获取设备窗口的内容并将其发送到 C2 服务器。还有,我们可以推断出该功能将用于绕过依赖 OTP(One Time Password 一次性密码) 代码的身份验证服务。通过简单的窗口覆盖来破解受感染设备的屏幕锁定凭据(PIN 或锁屏图案),使受害者解锁设备。从 RAT 的实现中,我们可以得出结论,盗窃屏幕锁定凭据是为了使参与者能够远程解锁设备,以便在受害者未使用设备时进行欺诈行为。这再次证实了犯罪分子对于制造有效木马的创造力。RAT 服务能够遍历设备的文件系统并上载文件内容。最重要的是,它还可以启动 TeamViewer 并建立与其的连接,为恶意软件参与者提供对设备的远程访问功能。TeamViewer 开始工作后,它将为恶意软件参与者提供更多可能
列表 2:
目标列表
Cerberus 所针对的移动应用程序列表,共 30 个:
出现在 2019 年 6 月底恶意软件关注中的 Cerberus 银行木马已从 Anubis 木马中继承过来,目前作为主要的银行租赁恶意软件出现。Cerberus 提供的功能集合可以成功地从受感染设备中提取个人信息(PII),但是仍然缺少规避滥用信息和欺诈行为检测的功能。在 2020 年 1 月中旬,Cerberus 的作者回复了一种旨在解决该问题的新变种,带有 RAT 功能,用于在受感染的设备上执行欺诈行为。
这个 Cerberus 新变种进行了代码重构并更新了 C2 通信协议,但值得注意的是,它具有 RAT 功能,增强了从设备窃取屏幕滑动锁凭据(PIN 或解锁图案)和来自 Google Authenticator 应用程序的 2FA 令牌的可能性。
RAT 服务能够遍历设备的文件系统并上载文件内容。最重要的是,它还可以启动 TeamViewer 并建立与其的连接,为恶意软件参与者提供对设备的远程访问功能。
TeamViewer 开始工作后,它将为恶意软件参与者提供更多可能性,包括更改设备定位信息、安装或卸载应用,最需要注意的是它可以使用设备上的任何应用程序(例如银行应用、Messenger 和社交网络应用)。如果被用于间谍活动它还可以提供对被感染者习惯和行为的深度分析。
以下代码展示了负责 TeamViewer 登陆和初始启动的逻辑:
通过简单的窗口覆盖来破解受感染设备的屏幕锁定凭据(PIN 或锁屏图案),使受害者解锁设备。从 RAT 的实现中,我们可以得出结论,盗窃屏幕锁定凭据是为了使参与者能够远程解锁设备,以便在受害者未使用设备时进行欺诈行为。这再次证实了犯罪分子对于制造有效木马的创造力。
通过辅助功能服务提供的能力,木马现在还可以从 Google Authenticator 应用程序中窃取 2FA 代码。当应用程序运行时,木马程序可以获取设备窗口的内容并将其发送到 C2 服务器。还有,我们可以推断出该功能将用于绕过依赖 OTP(One Time Password 一次性密码) 代码的身份验证服务。
这是 Google Authenticator 应用程序界面的示例:
截止到 2020 年 2 月底,地下论坛尚未发布有关这些功能的广告。因此,我们认为 Cerberus 的新变种仍处于测试阶段,但有很快发布的可能性。Cerberus 拥有包括来自世界各地的机构在内的详细目标清单,再加上其新增的 RAT 功能,对于提供在线金融服务的金融机构来说是一个重大风险。无论是否在目标列表中,恶意软件的运营人员都可以轻松地扩充列表以定位到其他应用程序。
有关当前样本和目标列表,请参考下面的最新样本和目标列表。
最新样本
最新目标列表
