(Ceberus: Banking malware mới xuất hiện trên các thiết bị android)
Sau một số Trojan Android nổi tiếng như: Anubis, Red Alert 2.0, GM bot, Exobot, bỏ công việc kinh doang phần mềm độc hại của họ, một người chơi mới đã xuất hiện trên Internet với khả năng tương tự để lấp đây khoảng trống cung cấp dịch vụ cho thuê bot Android phục vụ mọi người.
Được biết đến là Ceberus, Trojan truy cập từ xa cho phép những kẻ tấn công có thể kiểm soát toàn bộ các thiết bị Android bị nhiễm và cũng có khả năng của các trojan ngân hàng như sử dụng các cuộc tấn công che phủ, kiếm soát SMS và thu nhập danh sách liên hệ.
Theo tác giả của phần mềm độc hại này, một người trên mạng xã hội Twitter công khai chế giễu các nhà nghiên cứu bảo mật và phân tích mã độc, Ceberus đã được mã hóa và không sử dụng lại bất kì mã tương tự nào từ các phần mềm Trojan ngân hàng khác.
Tác giả cũng công bố đã sử dụng Trojan này cho các hoạt động cá nhân trong ít nhất hai năm, trước khi cho bất kì ai thuê lại nó trong hai tháng qua, với giá $2000 cho 1 tháng sử dụng, $7000 cho 6 tháng sử dụng và $12.000 cho một năm sử dụng.
Đặc điểm của Ceberus
Theo các nhà nghiên cứu bảo mật tại ThreatFabric, nhóm nghiên cứu đã phân tích các mẫu thử của Trojan Ceberus, phần mềm mã độc này có những đặc điểm phổ biến sau đây :
- Chụp màn hình
- Ghi âm
- Ghi lại nhật ký
- Gửi, nhận, xóa những tin nhắn SMS
- Đánh cắp thông tin liên lạc
- Chuyển cuộc gọi
- Thu nhập thông tin thiết bị
- Theo dõi vị trí thiết bị
- Đánh cắp thông tin đăng nhập tài khoản
- Vô hiệu hoá sự hoạt động của các phần mềm bảo vệ
- Tải xuống các ứng dụng độc hại
- Xóa ứng dụng khỏi thiết bị đã bị nhiễm
- Đẩy thông báo
- Khóa màn hình
Sau khi bị nhiễm, Cerberus trước tiên ẩn biểu tượng của nó khỏi ngăn kéo ứng dụng và sau đó yêu cầu quyền truy cập bằng cách giả mạo chính nó là Dịch vụ Flash Player. Nếu được cấp, phần mềm độc hại sẽ tự động đăng ký thiết bị bị xâm nhập vào máy chủ chỉ huy và kiểm soát của nó, cho phép người mua / kẻ tấn công điều khiển thiết bị từ xa.
Để đánh cắp số thẻ tín dụng, thông tin ngân hàng và mật khẩu của người dùng cho các tài khoản trực tuyến khác, Cerberus cho phép kẻ tấn công khởi chạy các cuộc tấn công che phủ màn hình từ bảng điều khiển từ xa.
Trong cuộc tấn công che phủ màn hình, Trojan hiển thị lớp phủ trên đầu các ứng dụng ngân hàng di động hợp pháp và lừa người dùng Android nhập thông tin ngân hàng của họ vào màn hình đăng nhập giả, giống như một cuộc tấn công lừa đảo.
Các nhà nghiên cứu cho biết: “Bot lạm dụng đặc quyền dịch vụ trợ năng để lấy tên gói của ứng dụng nền trước và xác định xem có hiển thị cửa sổ che phủ lừa đảo hay không”.
Theo các nhà nghiên cứu, Cerberus đã chứa các mẫu tấn công che phủ cho tổng số 30 mục tiêu bao gồm:
- 7 ứng dụng ngân hàng của Pháp
- 7 ứng dụng ngân hàng của Mỹ
- 1 ứng dụng ngân hàng của Nhật
- 15 ứng dụng ngân hàng khác
Ceberus dùng chiến thuật tránh né dựa trên chuyển động người dùng
Cerberus cũng sử dụng một số kỹ thuật thú vị để tránh sự phát hiện từ các giải pháp chống virus và ngăn chặn phân tích của nó, như sử dụng cảm biến chuyển động của thiết bị để đo chuyển động của nạn nhân.
Ý tưởng này rất đơn giản khi người dùng di chuyển, thiết bị Android của họ thường tạo ra một số lượng dữ liệu cảm biến chuyển động. Phần mềm độc hại giám sát các bước của người dùng thông qua cảm biến chuyển động của thiết bị để kiểm tra xem nó có chạy trên thiết bị Android thực không.
Các nhà nghiên cứu giải thích: “Trojan sử dụng bộ đếm này để kích hoạt bot, nếu bộ đếm bước nói trên đạt đến ngưỡng được cấu hình sẵn mà nó cho là chạy trên thiết bị là an toàn”. “Biện pháp đơn giản này ngăn chặn Trojan chạy và được phân tích trong môi trường phân tích động và trên các thiết bị thử nghiệm của các nhà phân tích phần mềm độc hại.”
Nếu thiết bị của người dùng thiếu dữ liệu cảm biến, phần mềm độc hại sẽ giả định là đang được chạy trên sandbox và sẽ không chạy mã độc.
Tuy nhiên, kỹ thuật này cũng không phải là duy nhất và trước đây đã được triển khai bởi Trojan ngân hàng nổi tiếng “Anubis”.
Cần lưu ý rằng phần mềm độc hại Cerberus không khai thác bất kỳ lỗ hổng nào để tự động cài đặt trên thiết bị được nhắm mục tiêu. Thay vào đó, việc cài đặt phần mềm độc hại dựa trên các chiến thuật kỹ thuật xã hội.
Do đó, để bảo vệ bản thân khỏi trở thành nạn nhân của các mối đe dọa phần mềm độc hại như vậy, bạn nên cẩn thận với những gì bạn tải xuống trên điện thoại và chắc chắn nghĩ ba lần trước khi tải xuống.
Nguồn tham khảo :Cerberus: A New Android 'Banking Malware For Rent' Emerges
