Οι ερευνητές ασφαλείας ανακάλυψαν ότι το Cerberus banking Trojan μεταμφιέστηκε ως νόμιμη εφαρμογή currency στο Google Play.
Την Τρίτη, η ομάδα ασφάλειας της Avast δήλωσε ότι η εν λόγω κακόβουλη εφαρμογή παρουσιάστηκε ως νόμιμη εφαρμογή μετατροπής νομισμάτων που έχει σχεδιαστεί για Ισπανούς χρήστες.
Συνολικά, το λογισμικό “Calculadora de Moneda” – που μεταφράστηκε ως Υπολογιστής νομίσματος – έχει ληφθεί περισσότερες από 10.000 φορές.
Οι κινητές συσκευές μας, συμπεριλαμβανομένων των smartphone και των tablet, είναι πλέον συχνά βασικά εργαλεία που χρησιμοποιούνται όχι μόνο για επικοινωνία με φίλους και συγγενείς, αλλά και για ψυχαγωγία, εργασία και ως πύλες στους οικονομικούς λογαριασμούς μας.
Ως αποτέλεσμα, το mobile malware έχει γίνει κοινή απειλή σήμερα. Για να προσπαθήσουν να κρατήσουν τις κακόβουλες εφαρμογές μακριά από τις συσκευές μας, οι προμηθευτές συμπεριλαμβανομένης της Google και της Apple, έχουν θεσπίσει αυστηρά μέτρα ασφαλείας για λογισμικό που φιλοξενείται στα επίσημα τους αξιόπιστα αποθετήρια εφαρμογών.
Σε ορισμένες περιπτώσεις, ωστόσο, οι απειλές καταφέρνουν να γλιστρήσουν.
Η κακόβουλη εφαρμογή παράκαμψε τα εμπόδια ασφαλείας της Google λειτουργώντας ως νόμιμη εφαρμογή για τις πρώτες εβδομάδες μετά την αποδοχή της στο Google Play.
Ωστόσο, αφού την εμπιστεύθηκαν οι χρήστες, η εφαρμογή ενεργοποίησε τον αδρανή κώδικα για το Cerberus Trojan.
Κώδικας που συνέδεσε το Calculadora de Moneda με έναν διακομιστή εντολών και ελέγχου (C2) που ενεργοποιήθηκε αρκετές εβδομάδες αργότερα, διατάσσοντας την εφαρμογή να κατεβάσει ένα επιπλέον πακέτο εφαρμογών Android (APK) σε συσκευές.
Αφού έτρεχε, το APK «έριχνε» μέσα στο σύστημα το Cerberus, ένα σχετικά νέο Trojan που κυκλοφορεί από τον Ιούνιο του 2019.
Το banking Trojan δημιουργεί μια κάλυψη σε υπάρχουσες τραπεζικές και χρηματοοικονομικές εφαρμογές. Το Cerberus κρύβεται στο παρασκήνιο, περιμένοντας έναν χρήστη να εισαγάγει τα credentials του λογαριασμού του, από τα οποία αυτές οι πληροφορίες κλέβονται και αποστέλλονται στον C2 του εισβολέα.
Η Avast σημείωσε ότι το malware είναι αρκετά εξελιγμένο για να διαβάσει τα μηνύματα σας – χρησιμοποιούνται συχνά για την παράδοση κωδικών πρόσβασης (OTP) – καθώς και για την ανάκτηση λεπτομερειών ελέγχου ταυτότητας δύο παραγόντων (2FA). Αυτά τα μέτρα ασφαλείας αποσκοπούν στην περαιτέρω προστασία των τραπεζικών λογαριασμών, αλλά το Cerberus μπορεί να παρακάμψει αυτούς τους ελέγχους.
“Αν και αυτό ήταν μόνο ένα μικρό χρονικό διάστημα, είναι μια τακτική που οι απατεώνες χρησιμοποιούν συχνά για να κρύβονται από την προστασία και τον εντοπισμό, δηλαδή να περιορίζουν το χρονικό διάστημα όπου μπορεί να ανακαλυφθεί η κακόβουλη δραστηριότητα”, λέει η Avast.
