Аналитичарите на малициозен софтвер во Cyble Research and Intelligence Labs (CRIL) открија нова варијанта на банкарскиот Android Trojan Kerber (Cerberus), малициозен софтвер што се појави на хакерските форуми во 2019 година како алатка за финансиска измама што може да се изнајми.
Оттогаш, Кербер еволуираше за сега динамично да ги менува командните и контролните сервери, а неговиот софистициран синџир на инфекции го комплицира откривањето и отстранувањето, предупредува извештајот на CRIL. Ситуацијата дополнително се усложнува поради фактот што сајбер-криминалците од септември ги зголемуваат своите напади со овој малициозен софтвер.
Ниту еден антивирус не ја откри новата верзија на Кербер. Домените се генерираат во лет со помош на DGA (Algorithm за генерирање на домен) за промена на серверите за команди и контрола (C&C).
На почетокот, истражувачите на Cyble мислеа дека се занимаваат со сосема нов малициозен софтвер. Но, деталната анализа откри сличности на кодот со Кербер, кој првпат беше идентификуван во 2019 година. Тие ја нарекоа новата кампања ErrorFather по ID на ботот на Telegram и идентификуваа 15 примероци од малициозен софтвер поврзани со кампањата ErrorFather. Истражувачите забележуваат дека нападите се во тек, а некои C&C сервери се сè уште активни.
Напаѓачите се потпираат на корисниците да направат грешка. Злонамерниот софтвер е маскиран како легитимна банка или апликации за автентикација или ажурирање и користи икони на Google Play и Chrome. Напаѓачите користат phishing сајтови за да ги дистрибуираат овие апликации.
Кербер собира и испраќа податоци како списоци со апликации, контакти, слики од екранот, статус на уредот и други податоци до напаѓачите. Исто така, може да украде СМС или да испраќа пораки, да снима аудио и да остварува повици.
Откако ќе се идентификува потенцијалната цел (апликација), малициозен софтвер ја преклопува со лажна страница за фишинг за да ја измами жртвата да внесе информации за најава или детали за кредитна картичка.
Злонамерниот софтвер може да имитира интеракција на корисникот, кликови и различни влезни гестови и да се деинсталира кога напаѓачите ќе завршат.
Истражувачите на Cyble препорачуваат корисниците на Android да преземаат апликации само од официјални извори, да проверуваат дали Google Play Protect е активен на уредот, да внимаваат со дозволите што ги даваат на апликациите и да не отвораат сомнителни линкови што ги добиваат преку СМС или е-пошта.
