Новое лицо Cerberus: угроза банковским данным Android
Банковский троянец Cerberus для Android вновь проявил себя в сложной многоэтапной атаке, нацеленной на банковские учетные данные пользователей, данные SMS и списки контактов. Этот троянец известен своими скрытыми оверлейными атаками, когда он выдает себя за легальные приложения, обманывая пользователей и вынуждая их выдавать конфиденциальную информацию на экранах, которые очень похожи на надежные приложения.
Эволюция Cerberus
Впервые представленный в 2019 году, Cerberus с тех пор эволюционировал, включив в себя такие расширенные возможности, как:
- ведение кейлогга;
- удаленный доступ;
- алгоритмы генерации доменов (DGA) для динамического управления (C2) коммуникациями.
Недавняя вредоносная кампания, получившая название ErrorFather, демонстрирует адаптивность Cerberus, перепрофилируя основные функции с использованием дропперов, встроенных библиотек и зашифрованных полезных данных, чтобы обойти защиту Android.
Методы распространения
Распространение Cerberus происходит через такие платформы, как Google Play и сторонние магазины приложений, что создает постоянную угрозу для различных секторов. Для этого троянец использует многоцелевую стратегию, включая:
- маскировку под законные приложения, такие как Google Play или Chrome;
- сбор конфиденциальных данных с помощью наложенных экранов и кейлоггинга.
После установки троянец проводит тщательную разведку, идентифицируя установленные приложения, собирая системную информацию и перехватывая экранные и аудиоданные. Зашифрованные сообщения dynamic C2, передаваемые вредоносной программой, повышают ее скрытность и затрудняют обнаружение с помощью мер безопасности.
Рекомендации по противодействию
Эффективное противодействие вредоносной кампании Cerberus требует комплексного подхода, включающего:
- проверку приложений;
- безопасность конечных точек;
- обучение пользователей.
Рекомендуемые стратегии противодействия тактике Cerberus включают:
- внесение приложений в белый список;
- использование многоуровневой защиты конечных точек;
- обучение пользователей выявлению попыток фишинга и подозрительного поведения.
Итоги и перспективы
Появление вредоносной кампании Cerberus подчеркивает растущую угрозу, которую представляют мобильные банковские трояны. Используя такие изощренные методы, как оверлейные атаки, кейлоггинг и зашифрованную связь C2, Cerberus представляет постоянную угрозу для устройств Android по всему миру.
Для устранения таких сложных угроз требуется активная позиция в области безопасности, включая многоуровневую защиту, обучение пользователей и внесение приложений в белый список. Использование аналитических данных в режиме реального времени от таких платформ, как SOCRadar Extended Threat Intelligence (XTI), может помочь в раннем обнаружении и устранении возникающих угроз, таких как Cerberus. Организации могут повысить уровень своей безопасности, обратившись к разделу кампаний в SOCRadar LABS, чтобы получить полный обзор текущих кампаний и угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.
