Cerberus Android bankarski trojanac u novoj kampanji

AUTOR ·

Prijetnja na koju treba obratiti pažnju je ponovno pojavljivanje Cerberus Android bankarskog trojanaca kao ErrorFather zlonamjernog softvera. Ovaj novi Android bankarski trojanac identifikovali su sigurnosni istraživači iz Cyble Research and Intelligence Labs (CRIL), koji su upozorili na njegovu sve veću aktivnost od septembra 2024. godine. Razlog za to je vjerovatno što ni jedan antivirusni mehanizam na VirusTotal platformi nije otkrio konačnu datoteku korisnog opterećenja.

Cerberus

Cerberus Android bankarski trojanac u novoj kampanji; Source: Bing Image Creator

CERBERUS TROJANAC

Bankarski trojanac Cerberus za Android, neslavno nazvan po troglavom psu iz grčke mitologije, je veoma napredan i težak za otkrivanje zlonamjerni softver koji prvenstveno cilja na bankarske aplikacije koristeći različite metode kao što su VNC (daljinska kontrola uređaja), praćenje korisničkog unosa (eng. keylogging) i napadi preklapanja (zlonamjerne internet lokacije prerušene u legitimne aplikacije).

Primarni cilj Cerberus zlonamjernog softvera je da zaobiđe bezbjednosna ograničenja i ukrade osjetljive bankarske informacije od korisnika koji ništa ne sumnjaju. Prvo se pojavio 2019. godine, a od tada je evoluirao u nekoliko varijanti kao što su Alien, ERMAC, Phoenix a nedavno i ErrorFather.

 

ErrorFather

ErrorFather je nova kampanja koja koristi Cerberus izvorni kôd sa značajnim modifikacijama. Koristi sofisticiranu višestepenu tehniku ubacivanja kako bi izbjegao otkrivanje, što predstavlja izazov za bezbjednosne sisteme da identifikuju i neutrališu prijetnju. Uprkos tome što koristi Cerberus kôd kao svoju osnovu, ova nova Cerberus varijanta ima jasne razlike u svojoj C&C strukturi u poređenju sa prethodnim verzijama, što sugeriše da je to zaista zaseban soj zlonamjernog softvera, a ne samo ažurirana verzija originalnog Cerberus trojanca. Kampanja koristi Telegram bot pod nazivom “ErrorFather” za komunikaciju sa zlonamjernim softverom, po čemu je kampanja i dobila ime.

Početna faza ErrorFather zlonamjernog softvera se maskira kao legitimne aplikacije kao što su Chrome ili Play Store, instalirajući APK datoteku druge faze nakon uspješne infiltracije. Ova druga faza koristi matičnu biblioteku za dešifrovanje i izvršavanje konačnog korisnog tereta (eng. payload). Jednom instaliran na uređaj, ErrorFather konačni korisni teret obavlja niz zlonamjernih aktivnosti. Koristi praćenje korisničkog unosa za snimanje osjetljivih informacija kao što su korisnička imena i lozinke za bankarske aplikacije.

Pored toga, koristi napade sa preklapanjem kreiranjem lažnih internet lokacija koje oponašaju legitimne aplikacije, obmanjujući korisnike da nesvjesno unesu svoje akreditive. Jednom kada se identifikuju ciljevi, zlonamjerni softver preduzima akciju za preuzimanje HTML internet stranice za ubrizgavanje. Kada žrtva stupi u interakciju sa ciljnom aplikacijom, zlonamjerni softver učitava lažnu phishing stranicu preko legitimne aplikacije, obmanjujući korisnika da nesvjesno pruži osjetljive informacije. Trojanac takođe uključuje mogućnosti VNC (virtuelne mrežne veze), uz upotrebu WebSocket konekcija za VNC funkcionalnost omogućavajući zlonamjernim akterima da daljinski kontrolišu zaražene uređaje i pristupe osjetljivim informacijama sačuvanim na njima.

Jedna od najznačajnijih karakteristika ErrorFather zlonamjernog softvera je njegova inkorporacija algoritma za generisanje domena (eng. Domain Generation Algorithm – DGA). Ovaj mehanizam obezbjeđuje otpornost omogućavanjem dinamičkih ažuriranja C&C servera, održavajući zlonamjerni softver operativnim čak i ako se primarni serveri uklone. Algoritma za generisanje domena generiše listu imena domena sa kojima trojanac pokušava da se poveže u svrhu komandovanja i kontrole. Neprestano mijenjajući svoje komunikacione kanale, ErrorFather otežava sigurnosnim istraživačima i timovima za obavještavanje o prijetnji da efikasno prate i ometaju njegove aktivnosti.

Kampanja je aktivna od septembra i oktobra 2024. godine, sa znakovima pojačane aktivnosti. Uz više uzoraka i tekućih kampanja, to sugeriše da zlonamjerni akteri iza ErrorFather zlonamjernog softvera aktivno ciljaju korisnike u brojnim zemljama. Zlonamjerni softver se širi prvenstveno kroz zlonamjerne aplikacije u Android Play Store prodavnici i iOS App Store prodavnici.

Jedan značajan aspekt ErrorFather zlonamjernog softvera je njegova sposobnost da izbjegne detekciju od strane antivirusnih softvera. Kada je poslata na VirusTotal platformu na analizu, dešifrovana datoteka nije izazvala nikakve alarme, naglašavajući sofisticiranost ovog tipa zlonamjernog softvera. Ova neuhvatljiva priroda može se pripisati modifikacijama imena promjenljivih Cerberus trojanca, povećanju tehnika zamagljivanja i reorganizaciji kôda koja je efikasno osujetila otkrivanje uprkos tome što je Cerberus identifikovan još 2019. godine.

 

ZAKLJUČAK

Ponovno pojavljivanje Cerberus trojanca pod novom maskom, ErrorFather, služi kao dobar podsjetnik da zlonamjerni akteri nastavljaju da inoviraju i prilagođavaju svoje taktike u nastojanju da zaobiđu bezbjednosne mjere i iskoriste ranjivosti u digitalnom svetu.

Iskorištavanjem izvornog kôda zlonamjernog softvera koji je procurio, zlonamjerni akteri nastavljaju da prilagođavajući alate kao što su Cerberus, Alien, ERMAC i Phoenix za tekuće napade. Ova praksa pokazuje kako bankarski trojanci neprestano evoluiraju kako bi nadmudrili sigurnosne mjere i efikasnije ciljali finansijske i aplikacije društvenih medija.

Dok profesionalci za sajber bezbjednost nastavljaju da prate ovu prijetnju i razvijaju protivmjere, korisnici moraju ostati oprezni i proaktivni u zaštiti svojih digitalnih sredstava od ovakvih upornih prijetnji kao što je ErrorFather. Od ključne je važnosti da pojedinci i organizacije daju prioritet obrazovanju o sajber bezbjednosti, podizanju svesti i primljeni snažnih bezbjednosnih mjera za zaštitu od ovih prijetnji koje se stalno razvijaju.

 

ZAŠTITA

Kako bi zaštitili svoje uređaje od naprednog zlonamjernog softvera ErrorFather, ključno je usvojiti proaktivan pristup sajber bezbjednosti. Evo nekoliko preporuka koje mogu pomoći da se ojača digitalna odbrana:

  1. Preuzimati aplikacije samo iz zvaničnih prodavnica aplikacija kao što su Google Play Store prodavnica i Apple App Store. Ove platforme imaju snažne bezbjednosne mjere koje značajno smanjuju šanse da korisnici preuzmu zlonamjerni softver prerušen u legitimne aplikacije. Međutim, bitno je zapamtiti da nijedan sistem nije siguran; čak i zvanične prodavnice aplikacija mogu povremeno propustiti zlonamjerni softver,
  2. Redovno ažuriranje operativnog sistema i instaliranih aplikacija osigurava da uređaji imaju najnovije bezbjednosne ispravke koje pomažu u zaštiti od poznatih ranjivosti koje koristi zlonamjerni softver kao što je ErrorFather,
  3. Sveobuhvatno rješenje za mobilnu bezbjednost može da obezbijedi dodatne slojeve zaštite za uređaj. Potražiti aplikaciju koja nudi funkcije kao što su antivirusno skeniranje, mjere protiv krađe (kao što je daljinsko brisanje ili zaključavanje) i zaštita privatnosti kao što je filtriranje poziva i tekstualnih poruka,
  4. Biti oprezan pri davanju dozvola aplikacijama. Davati samo minimalne potrebne dozvole za efikasno funkcionisanje. Zlonamjerni softver često traži pretjerani pristup osjetljivim podacima na uređaju, tako da ograničavanje onoga što se dozvoljava može pomoći u smanjenju potencijalne izloženosti,
  5. Omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA), jer dodaje još jedan nivo sigurnosti tako što zahteva drugi oblik verifikacije pored lozinke prilikom prijave na naloge povezane sa osvetljivim informacijama kao što su bankarske aplikacije ili usluge elektronske pošte. Ovo otežava zlonamjernom softveru da dobije neovlašteni pristup čak i ako uspije da dobije akreditive za prijavu,
  6. Kreirati složene lozinke koje je teško pogoditi i koje sadrže mješavinu velikih slova, malih slova, brojeva i simbola. Pored toga, izbjegavati korišćenje iste lozinke na više naloga, jer to može olakšati zlonamjernom softveru da ugrozi cio digitalni otisak ako dobije pristup samo jednom nalogu,
  7. Phishing prevare su uobičajena metoda koju koriste zlonamjerni akteri da prevare korisnike da otkriju osjetljive informacije ili preuzmu zlonamjerni softver. Uvijek provjeriti autentičnost elektronskih poruka, tekstova i linkova pre nego što se klikne na njih ili izvrši navođenje ličnih podatke. Ako nešto izgleda sumnjivo, potrebno je biti oprezan i izbjegavati potpuno interakciju sa tim,
  8. Redovno praviti rezervne kopije podataka, jer u slučaju da zlonamjerni softver uspije da se infiltrira u na uređaj, nedavna rezervna kopija može pomoći da se smanje potencijalni gubici. Uvjeriti se da se redovno prave rezervne kopije važnih datoteka na spoljnom uređaju za skladištenje ili usluzi u oblaku kao što je Google Drive, OneDrive ili Dropbox,
  9. Potrebno je biti informisan o najnovijim trendovima i taktikama koje koriste programeri zlonamjernog softvera kako bi se lakše prepoznali potencijalni rizici. Ovo će pomoći da se donose pametnije odluke prilikom kretanja u digitalnom okruženju i smanje šanse da se postane žrtva zlonamjernog softvera ErrorFather ili sličnih prijetnji,
  10. Korisnici koji naiđu na bilo šta neobično na svom uređaju, kao što su iskačući prozori, neočekivane instalacije aplikacija ili čudno ponašanje aplikacija koje su instalirali, treba to odmah da prijave svom pružaocu mobilnih usluga i nadležnim organima. Dijeljenje ovih informacija može pomoći drugima da izbjegnu da postanu žrtve iste prijetnje i doprinesu bezbjednijem digitalnom okruženju za sve.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.