網絡安全公司ThreatFabric在最新發布的一份分析報告中指出,他們於今年6月份在暗網交易市場發現了一種正在被出租的新型安卓惡意軟體,被其開發者命名為「Cerberus(地獄三頭犬)」。
Cerberus的開發者表示,在決定出租它之前,它已經被用於惡意攻擊活動兩年,並且絕對是從零開始編寫的代碼,而絕非建立在現有的一些銀行木馬洩露的原始碼基礎上。經過徹底的分析,Cerberus開發者的這一說法得到了ThreatFabric分析師的肯定。
要說Cerberus的開發者有多囂張?他們有一個官方的Twitter帳戶,不僅用於發布有關Cerberus的宣傳信息(甚至是視頻)的,而且還通過它來諷刺殺毒軟體廠商(如分享來自VirusTotal的檢測截圖),甚至直接與惡意軟體研究人員進行討論。
獨特的反分析技術
除了對有效載荷和字符串進行混淆,Cerberus還使用了一種獨特且非常有想法的技術來逃避惡意軟體分析人員對它的分析——使用受感染設備的加速度傳感器,它實現了一個簡單的計步器,用來測量受害者的運動。
這個想法其實很簡單——如果受感染設備屬於一個真實的人,那麼這個人遲早會四處走動,步數也就會增加。如果步數沒有增加,那麼它則可以判斷自己很可能是在一個動態分析環境(如沙箱)或惡意軟體分析人員的測試設備上運行。
整個檢測過程是通過如下代碼來完成的:
Cerberus具體如何運作?
當Cerberus首次在受感染設備上啟動時,它將首先隱藏自己的圖標。然後,它將請求一些權限:
在用戶授予其所請求的權限後,Cerberus就會利用這些權限獲取更多的權限,如發送消息和撥打電話所需的權限。
此外,Cerberus還會禁用Play Protect(谷歌預裝的防病毒解決方案),在完成持久性的建立之後之後,Cerberus就會在殭屍網絡中註冊受感染的設備並等待來自C2伺服器的命令,同時還為執行「屏幕覆蓋攻擊」做好了準備。
以下是Cerberus目前版本所支持的命令,足以將一部安卓設備變成「肉雞」:
Cerberus都有哪些功能?
Cerberus具有與其他大多數安卓銀行木馬相同的功能,如屏幕覆蓋攻擊、簡訊控制以及聯繫人列表收集。除此之外,它還具有鍵盤記錄的功能,具體如下:
覆蓋:動態(從C2伺服器獲得的局部注入)
鍵盤記錄
簡訊收集:簡訊列表
簡訊收集:簡訊轉發
設備信息收集
聯繫人列表收集
已安裝APP列表收集
地理位置收集
覆蓋:目標列表更新
簡訊:發送
呼叫:USSD請求
呼叫:呼叫轉移
遠程操作:APP安裝
遠程操作:App啟動
遠程操作:App刪除
遠程操作:顯示任意web頁面
遠程操作:截屏
通知:推送通知
C2恢復能力:備用的C2列表
自我保護:隱藏APP圖標
自我保護:防止被刪除
自我保護:反分析檢測
架構:模塊化
大多數安卓銀行木馬都是使用屏幕覆蓋攻擊來欺騙用戶提交他們的個人信息(如信用卡信息、手機銀行帳戶和密碼、電子郵箱帳戶和密碼),Cerberus也不例外。
利用用戶授予的可訪問性服務權限,Cerberus能夠獲取用戶正在使用的APP的包名,以確定是否顯示網絡釣魚覆蓋頁面,代碼如下:
部分網絡釣魚覆蓋頁面如下(前兩個旨在竊取帳戶和密碼,後一個旨在竊取信用卡信息):
ThreatFabric公司的分析師表示,Cerberus目前共配備了30個APP的網絡釣魚覆蓋頁面,包括7個法國銀行APP、7個美國銀行APP、1個日本銀行APP和15個非銀行APP,具體如下:
結論
儘管還不夠成熟,無法提供一套完整的安卓銀行惡意軟體功能,如RAT、RAT with ATS(自動事務腳本)、反向連接代理、媒體數據流式傳輸,以及更為豐富的目標列表,但Cerberus不應被輕視。
一方面來自Cerberus目前正在被作為商品出售,另一方面則來自於它模塊化的架構,這使得它能夠不斷進化,最終很可能會成長到能夠與頂尖的銀行木馬相媲敵。
本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請註明「轉自黑客視界」,並附上連結。
想了解相關安全技術,請搜索「墨者學院」,或直接訪問「www.mozhe.cn」。