Cerbero

Malware para Android Cerberus Trojan Horse A veces, en lugar de utilizar sus propias herramientas de piratería en diversas operaciones amenazantes, los ciberdelincuentes optan por venderlas como un servicio. Esta tendencia se denomina malware como servicio y es bastante popular en el mundo del ciberdelito. De esta manera, incluso las personas sin habilidades técnicas pueden operar una amenaza y generar ingresos a costa de usuarios inocentes. Recientemente, los investigadores de malware descubrieron un nuevo malware como servicio que se ofrece en un foro de piratería. Esta amenaza se llama Cerberus y se cree que se produjo en la Federación de Rusia. Cerberus es un troyano bancario basado en Android con capacidades impresionantes para recopilar datos importantes y evitar software de depuración de malware.

Barato y actualizado regularmente

A diferencia del popular troyano bancario Anubis , el troyano bancario Cerberus es bastante barato, lo que probablemente hará que atraiga una gran cantidad de atención de inmediato. Además, el creador del troyano Cerberus se asegura de actualizar la herramienta de piratería con regularidad, lo que hará que este malware como servicio sea aún más atractivo para los compradores potenciales.


Esta semana en Malware Ep8: El bloqueo de COVID-19 provoca un aumento en las estafas de teletrabajo #thisweekinmalware

Superposiciones de phishing

El troyano bancario Cerberus se basa en superposiciones de phishing de pantalla cuando el usuario intenta interactuar principalmente con una aplicación bancaria legítima. Este troyano también cuenta con un módulo keylogger, que permitirá a sus operadores recopilar datos de la víctima, como nombres de usuario y contraseñas de varias cuentas. Además, esta amenaza también puede recopilar la lista de contactos del usuario.

Los hackers de Cerberus buscan modificar la configuración del dispositivo y promover el malware a través de las redes sociales

El código subyacente que permite a Cerberus obtener acceso a un dispositivo infectado comienza con la modificación de los servicios de accesibilidad de los dispositivos Android para ciertos privilegios, como se muestra en la imagen a continuación.

ataque android cerberus
Se modificó la configuración del servicio de accesibilidad del dispositivo Android infectado con Cerberus - Fuente: Threatfabric.com

Varios investigadores de seguridad descubrieron que los actores de amenazas detrás del malware bancario Cerberus tienen una cuenta oficial de Twitter que se ha utilizado en el pasado para promover contenido y contenido multimedia para difundir el malware. La captura de pantalla a continuación es de su cuenta de Twitter de una campaña publicitaria reciente.

cuenta twitter cerberus hackers
Imagen de la cuenta de Twitter de los hackers de Cerberus y los tweets que promocionan su malware - Fuente: Threatfabric.com

Número limitado de aplicaciones bancarias dirigidas

El número de sitios web y aplicaciones bancarias para los que estaba programado el troyano Cerberus sigue siendo bastante limitado. Entre ellas se encuentran siete aplicaciones bancarias estadounidenses, siete aplicaciones bancarias francesas y una aplicación bancaria japonesa. Además de las aplicaciones bancarias, Cerberus Trojan también tiene quince aplicaciones no bancarias en su lista de objetivos. La amenaza es capaz de detectar cuando un usuario abre una de las aplicaciones en su lista y lo engañaría para que ingrese sus credenciales de inicio de sesión en una superposición de phishing falsa que es casi idéntica a la superposición legítima del portal bancario. El troyano bancario Cerberus también puede evitar la autenticación de dos factores, que muchos sitios web bancarios ofrecen como medida de seguridad adicional.

Las muchas acciones inteligentes de Cerberus Trojan involucran superposiciones de Flash. Dicho proceso implica apuntar al usuario mostrando una superposición de Flash que parece una pantalla de inicio de sesión inofensiva, como se muestra en la imagen a continuación. A través de dicha superposición, Cerberus puede obtener detalles bancarios o información de la tarjeta de crédito del usuario que puede no sospechar un problema, ya que el formulario de visualización parece legítimo. El entorno de la caja de arena puede hacer que Cerberus recopile los datos y realice sus funciones maliciosas.

cerberus flash excesivamente
Ejemplo de un formulario de tarjeta de superposición Flash de un dispositivo infectado con Cerberus - Fuente: Threatfabric.com

Para evitar un posible entorno sandbox, el troyano bancario Cerberus utiliza una técnica interesante. Este troyano verifica si se está ejecutando en un dispositivo legítimo mediante el uso de uno de los sensores que son responsables de contar los pasos del usuario; si permanece en cero, el malware permanecerá inactivo. Sin embargo, si se alcanzan un cierto número de pasos, Cerberus continuará con su actividad dañina.

Es probable que muchos delincuentes cibernéticos se interesen en esta oferta de malware como servicio, y es posible que veamos una oleada de ataques relacionados con el troyano Cerberus en un futuro próximo. Los usuarios de Android deben dejar de subestimar la importancia de la seguridad de sus dispositivos y asegurarse de instalar una aplicación anti-malware legítima, que mantendrá sus dispositivos inteligentes a salvo de amenazas como el troyano bancario Cerberus.

Tendencias

Mas Visto

Cargando...