Ο πηγαίος κώδικας του Cerberus banking Trojan κυκλοφόρησε ως δωρεάν malware σε ύπογεια hacking φόρουμ μετά από μια αποτυχημένη δημοπρασία. Ο Dmitry Galov, ερευνητής ασφαλείας της Kaspersky, ανέφερε χθες στο Kaspersky NEXT 2020 ότι ο πηγαίος κώδικας που διέρρευσε με το όνομα Cerberus v2, αποτελεί μεγάλη απειλή για τους χρήστες smartphone, καθώς και για τον τραπεζικό τομέα γενικότερα.
Το Cerberus είναι ένα mobile banking Trojan που έχει δημιουργηθεί για το λειτουργικό σύστημα Google Android. Το Malware-as-a-Service (MaaS) Cerberus που εμφανίστηκε στο τοπίο απειλών τον Αύγουστο του 2019, είναι ένα Android RAT που αναπτύχθηκε από το μηδέν και δεν δανείζεται τον κώδικα άλλων κακόβουλων προγραμμάτων. Μπορεί να παρακολουθεί κρυφά επικοινωνίες, να επηρεάζει τη λειτουργία μιας συσκευής και να κλέβει δεδομένα, συμπεριλαμβανομένων banking credentials, δημιουργώντας επικαλύψεις σε υπάρχουσες banking, social networking εφαρμογές καθώς και σε εφαρμογές λιανικής.
Επιπλέον, το malware μπορεί να διαβάζει μηνύματα κειμένου που ενδέχεται να περιέχουν κωδικούς μιας χρήσης (OTP) και κωδικούς για έλεγχο ταυτότητας δύο παραγόντων (2FA), παρακάμπτοντας έτσι τυπικές προστασίες 2FA λογαριασμών. Οι OTP που δημιουργούνται μέσω του Google Authenticator μπορούν επίσης να κλαπούν.
Σύμφωνα με τους ερευνητές της Threat Fabric που ανέλυσαν για πρώτη φορά τον κακόβουλο κώδικα, το Cerberus banking Trojan έχει χαρακτηριστικά παρόμοια με άλλα Android RAT, επιτρέποντας στους χειριστές του να έχουν τον απόλυτο έλεγχο των μολυσμένων συσκευών.
Στις αρχές Ιουλίου, οι ερευνητές της Avast ανακάλυψαν το Cerberus banking Trojan στο Google Play, όπου παρουσιαζόταν με τη μορφή ενός νόμιμου μετατροπέα νομισμάτων. Πιστεύεται ότι όταν η εφαρμογή υποβλήθηκε στην Google για έγκριση, οι λειτουργίες της ήταν “αθώες” και νόμιμες – αλλά μόλις δημιουργήθηκε μια μεγάλη βάση χρηστών, ένα update package ανέπτυξε το Trojan σε συσκευές θυμάτων.
Αργότερα τον ίδιο μήνα, η Hudson Rock είδε το Cerberus banking Trojan να πηγαίνει σε δημοπρασία. Μια διαφήμιση που δημοσιεύτηκε από τον συντηρητή του malware, αποκάλυψε ότι η ομάδα ανάπτυξης διαλύθηκε, και έτσι αναζητούταν νέος ιδιοκτήτης.
Ο χειριστής έθεσε ως τιμή εκκίνησης τα 50.000$ – με σκοπό αυτή να φτάσει έως και τα 100.000$ για τον πηγαίο κώδικα .APK, τη λίστα πελατών, τους servers και τον κώδικα για πάνελ διαχειριστών του malware. Ο δημοπράτης ισχυρίστηκε ότι το Cerberus banking Trojan έφερνε 10.000$ έσοδα το μήνα.
Η Kaspersky ανέφερε πως παρά το γεγονός ότι οι ρωσόφωνοι προγραμματιστές του Cerberus banking Trojan είχαν ένα νέο όραμα για το project τον Απρίλιο του τρέχοντος έτους, οι δημοπρασίες για τον πηγαίο κώδικα ξεκίνησαν στα τέλη Ιουλίου λόγω της διάλυσης της ομάδας που το ανέπτυξε. Πρόσθεσε ακόμη πως ο author αποφάσισε αργότερα να δημοσιεύσει τον πηγαίο κώδικα του project για premium χρήστες σε ένα δημοφιλές ρωσόφωνο υπόγειο hacking φόρουμ. Η Kaspersky επεσήμανε επίσης πως αφότου κυκλοφόρησε δωρεάν ο πηγαίος κώδικας του Cerberus στο υπόγειο hacking φόρουμ, υπήρξε γρήγορη και απότομη αύξηση των μολύνσεων mobile εφαρμογών σε όλη την Ευρώπη και τη Ρωσία. Σύμφωνα με τον Galov, παρουσιάζει ιδιαίτερο ενδιαφέρον το γεγονός ότι προηγούμενοι πελάτες δεν ενθαρρύνθηκαν να “χτυπήσουν” Ρώσους χρήστες κινητών συσκευών, αλλά τη στιγμή που κυκλοφόρησε ο κώδικας, το τοπίο της επίθεσης άλλαξε.
Όταν το Cerberus προσφέρθηκε ως Malware-as-a-Service, το εύρος της απειλής περιορίστηκε σε ομάδες επιθέσεων που μπορούσαν να πληρώσουν για τον κώδικα, με συνδρομή από 4.000$ για ένα μήνα έως 12.000$ για ένα χρόνο. Τώρα που ο προγραμματιστής κυκλοφόρησε τον πηγαίο κώδικα δωρεάν, ενδέχεται να μην παρατηρηθεί μόνο ολοένα αυξανόμενη υιοθέτηση του Cerberus, αλλά και νέες παραλλαγές, ενδεχομένως, με βάση τον κώδικα που διέρρευσε στο hacking φόρουμ.
Ο Galov τόνισε πως η εταιρεία κυβερνοασφάλειας συνεχίζει να ερευνά όλα τα στοιχεία που βρέθηκαν σε σχέση με τον κώδικα και να παρακολουθεί τη σχετική δραστηριότητα. Πρόσθεσε ακόμη πως η καλύτερη άμυνα που μπορούν να υιοθετήσουν οι χρήστες περιλαμβάνει πτυχές της ασφάλειας που θα έπρεπε ήδη να εφαρμόζουν σε όλες τις κινητές τους συσκευές, καθώς και στην τραπεζική τους ασφάλεια.
