Cybercriminelen bieden 'Cerberus malware' te huur aan op het Darkweb. Deze veel belovende malware (volgens de cybercriminelen), zou in staat zijn om de volledige controle over te nemen van de geïnfecteerde Android apparaten.
In het CaaS (Cybercrime-as-a-Service) pakket zitten er extra functies zoals, Trojan-bankfuncties waarbij je gebruik kunt maken van overlay-aanvallen, SMS-controle en het verzamelen van contactlijsten.
Volgens de ontwikkelaar van deze malware (cybercrimineel), die het ook op Twitter aankondigde en openlijk de spot dreef met beveiligingsonderzoekers en antivirus-ontwikkelaars, is 'Cerberus' helemaal opnieuw gecodeerd en gebruikt het geen code van andere bestaande bank-Trojaanse virussen.
De cybercrimineel beweerde ook dat hij de Trojan virus ten minste twee jaar voor privé activiteiten gebruikte voordat hij het op het Darkweb te huur aanbood.
De malware is te huur.
- 1 maand voor de prijs van $ 2000 dollar
- 6 maanden voor $ 7000 dollar
- 12 maanden voor $ 12.000 dollar.
Volgens Cybercrime onderzoekers van het bedrijf 'ThreatFabric' die de 'Cerberus Malware' hebben onderzocht zijn de volgende functies beschikbaar.
- Screenshots maken
- Audio opnemen
- Keylogs opnemen
- Sms’jes verzenden, ontvangen en verwijderen,
- Contactlijsten downloaden
- Oproepen doorschakelen
- Apparaat informatie verzamelen
- Volg apparaat (locatie)
- Het downloaden van account gegevens
- Play Protect uitschakelen
- Extra apps en payloads downloaden
- Apps verwijderen van het geïnfecteerde apparaat
- Push meldingen in of uitschakelen
Eenmaal geïnfecteerd, verbergt 'Cerberus' eerst zijn pictogram uit de applicatie pagina en vraagt vervolgens om de toegangsmachtiging van het apparaat door zich voor te doen als 'Flash Player-service'. Als dit geaccepteerd is, registreert de malware het geïnfecteerde apparaat automatisch bij zijn Command-and-Control-Server, waardoor de koper (cybercrimineel) het apparaat op afstand kan gaan bedienen.
Bankgegevens
Om creditcardnummers van gebruikers, bankgegevens en wachtwoorden voor andere online accounts te ontvreemden, laat 'Cerberus' aanvallers 'schermoverlay-aanvallen' starten vanaf het externe dashboard.
Bij een 'schermoverlay-aanval' toont de Trojan een overlay bovenop legitieme mobiel bankieren-apps en misleidt Android-gebruikers hun bankgegevens in het valse inlogscherm in te vullen, waarbij je inloggegevens bij de cybercrimineel terecht komen, net als bij een phishing of smishing aanval.
“De bot misbruikt het privilege van de toegankelijkheidsservice om de pakketnaam van de voorgrondtoepassing te verkrijgen en te bepalen of een phishing-overlayvenster moet worden weergegeven”, aldus de onderzoekers.
Volgens onderzoekers bevat Cerberus al 'overlay-aanvalssjablonen' voor in totaal 30 unieke doelen, waaronder:
- 7 Franse bank-apps
- 7 Amerikaanse bank-apps
- 1 Japanse bankapp
- 15 niet bankieren apps
De bewegingssensor
'Cerberus' gebruikt ook enkele technieken om detectie van antivirus apps te ontwijken en de analyse ervan te voorkomen, zoals het gebruik van de bewegingssensor om bewegingen van het slachtoffer te registreren.
Het idee is eenvoudig. Als een gebruiker beweegt, genereert zijn Android-apparaat meestal een bepaalde hoeveelheid bewegingssensor gegevens. De malware controleert zo de stappen van het slachtoffer om te controleren of deze op een echt Android-apparaat wordt uitgevoerd.
“De Trojan gebruikt deze teller om de bot te activeren, als de bovengenoemde stappenteller de vooraf geconfigureerde drempel bereikt die volgens hem veilig is op het apparaat,” leggen de onderzoekers uit.
“Deze eenvoudige maatregel voorkomt dat de Trojan wordt uitgevoerd en geanalyseerd in dynamische analyseomgevingen (sandboxen) en op de testapparaten van malware-analisten.”
Als het apparaat van de gebruiker sensorgegevens mist, gaat de malware ervan uit dat de sandbox voor het scannen van malware een emulator is zonder bewegingssensoren en de schadelijke code niet uitvoert.
Deze techniek is echter ook niet uniek en is eerder geïmplementeerd bij de populaire Malware ‘Anubis’.
Gerichte aanval
De 'Cerberus-malware' gebruikt geen kwetsbaarheden in software om zich zo automatisch te verspreiden, deze malware moet gericht worden ingezet op slachtoffers. Door social engineering tactieken proberen cybercriminelen je te misleiden om onbewust deze 'Cerberus-malware' toegang te verschaffen tot je Android-apparaat, denk hierbij aan phishing, smishing, vishing, malafide websites, QR code, warschipping, enz...
Daarom wordt u aangeraden voorzichtig te zijn met wat u op uw telefoon/tablet download en zeker driemaal na te te denken voordat u apps download, om uzelf te beschermen tegen dergelijke malware bedreigingen.
Politie
Als je door dit bericht op ideeën bent gebracht, bedenk dan dat dit een ernstig misdrijf is en dat de politie veel opsporingsmogelijkheden heeft om je te ontmaskeren. Deze zaken krijgen ook prioriteit binnen de eenheden!
Bron: Darkweb, threatfabric