Эксперты компании ThreatFabric обнаружили в Интернете новый банковский троян Cerberus, который авторы предлагают в аренду. Создатели зловреда открыто продвигают его через Twitter и YouTube и утверждают, что разработали его с нуля.

Банковские трояны в аренду

Исследователи отмечают, что Cerberus появился на рынке банкеров для Android очень своевременно. В марте 2019 года на подпольных хакерских площадках появились сообщения об аресте автора Anubis, который с 2017 года был ведущим MaaS-сервисом среди мобильных банковских троянов. После этого исходный код трояна был опубликован в Интернете, однако зловред лишился поддержки, так что у Cerberus есть все шансы занять его место.

По словам экспертов, лидеры этого сегмента подпольного рынка сменяются примерно раз в один-два года.

Технические возможности Cerberus

Функционально новый троян не представляет собой ничего революционного, несмотря на то, что его код действительно оригинальный и не является копией Anubis. Единственная интересная особенность Cerberus состоит в использовании акселерометра Android-устройства для отслеживания перемещений. Таким образом зловред определяет, что он поразил реальную цель, а не оказался в антивирусной песочнице. Троян запускается только после того, как внутренний шагомер убедится, что пройденная пользователем дистанция превышает заданную в коде отметку.

В остальном поведение Cerberus не слишком отличается от прочих банковских зловредов. Он распространяется под видом приложения Flash Player. Оказавшись на устройстве, троян скрывает свою иконку и запрашивает доступ к службе специальных возможностей. Если жертва предоставляет ему это разрешение, Cerberus уже самостоятельно выдает себе права на отправку сообщений и совершение телефонных звонков. Кроме того, он отключает встроенное защитное решение Google Play Protect, чтобы избежать блокировки.

Троян обладает функциями кейлоггинга и создания невидимых окон, которые и позволяют ему перехватывать пользовательские данные. Аналитики нашли в коде список из 30 приложений, для которых Cerberus создает оверлеи. Банковские программы составляют половину этого списка.

Прочие вредоносные возможности включают сбор данных о зараженном устройстве, установку, запуск и удаление приложений. Модульная архитектура Cerberus позволяет операторам добавлять и новые функции.

Поиск арендаторов в клирнете

Специалисты нашли Twitter-аккаунт, посвященный продвижению Cerberus среди потенциальных клиентов. К удивлению экспертов, преступники охотно вступают в переписку даже с представителями ИБ-сообщества, не опасаясь, что те помешают их деятельности. По мнению аналитиков, такое поведение связано с желанием злоумышленников получить скандальную славу или невысоким уровнем их развития.

Помимо Twitter, преступники создали канал на YouTube, где опубликовали видео с инструкцией по работе с Cerberus. Видео охватывают все этапы работы, начиная с заражения устройства и заканчивая удалением зловреда.

Категории: Вредоносные программы