Cerberus: Malware Perbankan Sewa Android Baru Muncul

Setelah beberapa Trojan Android populer seperti Anubis, Red Alert 2.0, GM bot, dan Exobot, keluar dari bisnis malware-as-a-service mereka, pemain baru telah muncul di Internet dengan kemampuan yang sama untuk mengisi kesenjangan, menawarkan penyewaan bot Android layanan kepada massa.

Dijuluki "Cerberus, "Trojan akses jarak jauh baru memungkinkan penyerang jarak jauh mengambil kendali total atas perangkat Android yang terinfeksi dan juga dilengkapi dengan kemampuan Trojan perbankan seperti penggunaan serangan overlay, kontrol SMS, dan pemanenan daftar kontak.

Menurut penulis malware ini, yang secara mengejutkan sosial Twitter dan mengolok-olok peneliti keamanan dan industri antivirus secara terbuka, Cerberus telah dikodekan dari awal dan tidak menggunakan kembali kode apa pun dari Trojan perbankan lain yang ada.

Penulis juga mengklaim menggunakan Trojan untuk operasi pribadi selama setidaknya dua tahun sebelum menyewakannya untuk siapa saja yang tertarik dari dua bulan terakhir dengan $ 2000 untuk penggunaan 1 bulan, $ 7000 untuk 6 bulan dan hingga $ 12.000 selama 12 bulan.

Trojan Cerberus Banking: Fitur

Menurut peneliti keamanan di Threat Fabric yang menganalisis sampel Cerberus Trojan, malware tersebut memiliki daftar fitur yang cukup umum, seperti:

• mengambil tangkapan layar
• rekaman audio
• merekam keylog
• mengirim, menerima, dan menghapus SMS,
• mencuri daftar kontak
• meneruskan panggilan
• mengumpulkan informasi perangkat
• Melacak lokasi perangkat
• mencuri kredensial akun,
• menonaktifkan Play Protect
• mengunduh aplikasi dan muatan tambahan
• menghapus aplikasi dari perangkat yang terinfeksi
• mendorong pemberitahuan
• layar penguncian perangkat

Setelah terinfeksi, Cerberus pertama-tama menyembunyikan ikonnya dari laci aplikasi dan kemudian meminta izin aksesibilitas dengan menyamar sebagai Layanan Pemutar Flash. Jika diberikan, malware secara otomatis mendaftarkan perangkat yang dikompromikan ke server perintah-dan-kontrolnya, yang memungkinkan pembeli / penyerang mengontrol perangkat dari jarak jauh.

Untuk mencuri nomor kartu kredit pengguna, kredensial perbankan dan kata sandi untuk akun online lainnya, Cerberus memungkinkan penyerang meluncurkan serangan overlay layar dari dasbor jarak jauh.

Dalam serangan overlay layar, Trojan menampilkan overlay di atas aplikasi mobile banking yang sah dan menipu pengguna Android untuk memasukkan kredensial perbankan mereka ke layar login palsu, seperti serangan phishing.

"Bot melanggar hak istimewa layanan aksesibilitas untuk mendapatkan nama paket aplikasi latar depan dan menentukan apakah akan menampilkan jendela overlay phishing," kata para peneliti.

Menurut peneliti, Cerberus sudah mengandung template serangan overlay dengan total 30 target unik, termasuk:

• 7 aplikasi perbankan Prancis
• 7 A.S. aplikasi perbankan
• 1 aplikasi perbankan Jepang
• 15 aplikasi non-perbankan

Cerberus Menggunakan Evasion Tactic berbasis Gerakan

Cerberus juga menggunakan beberapa teknik menarik untuk menghindari deteksi dari solusi antivirus dan mencegah analisisnya, seperti menggunakan sensor accelerometer perangkat untuk mengukur pergerakan korban.

Idenya mudah – ketika pengguna bergerak, perangkat Android mereka biasanya menghasilkan sejumlah data sensor gerak. Malware memonitor langkah-langkah pengguna melalui sensor gerak perangkat untuk memeriksa apakah itu berjalan pada perangkat Android asli.

"Trojan menggunakan penghitung ini untuk mengaktifkan bot – jika penghitung langkah tersebut mencapai ambang pra-konfigurasi yang dianggap berjalan pada perangkat itu aman," jelas para peneliti.

"Langkah sederhana ini mencegah Trojan dari menjalankan dan dianalisis di lingkungan analisis dinamis (kotak pasir) dan pada perangkat uji analis malware."

Jika perangkat pengguna tidak memiliki data sensor, malware menganggap bahwa kotak pasir untuk memindai malware adalah emulator tanpa sensor gerak dan tidak akan menjalankan kode berbahaya.

Namun, teknik ini juga tidak unik dan sebelumnya telah diterapkan oleh Trojan perbankan Android populer 'Anubis'.

Perlu dicatat bahwa malware Cerberus tidak mengeksploitasi kerentanan apa pun untuk menginstal secara otomatis pada perangkat yang ditargetkan sejak awal. Sebaliknya, instalasi malware bergantung pada taktik rekayasa sosial.

Oleh karena itu, untuk melindungi diri Anda dari menjadi korban dari ancaman malware, Anda disarankan untuk berhati-hati dengan apa yang Anda unduh di ponsel dan pasti berpikir tiga kali sebelum memuatnya juga.