Аналитичарите на вируси во Cyble Research and Intelligence Labs (CRIL) открија нова варијанта на банкарскиот Андроид банковниот Кербер (Cerberus), малвер што се појави на хакерските форуми во 2019 година како алатка за финансиска измама што може да се изнајми.
Оттогаш, Кербер еволуираше за сега динамично да ги менува командните и контролните сервери, а неговиот софистициран синџир на инфекции го комплицира откривањето и отстранувањето, предупредува извештајот на CRIL. Ситуацијата дополнително се усложнува поради фактот што сајбер-криминалците од септември ги зголемуваат своите напади со овој малициозен софтвер.
Ниту еден антивирус не ја детектирал новата верзија на Кербер. Домените се генерираат во од со користење на DGA (Domain Generation Algorithm) за промена на серверите за команди и контрола (C&C).
На почетокот, истражувачите на Cyble мислеа дека се занимаваат со сосема нов малициозен софтвер. Но, деталната анализа откри сличности на кодот со Кербер, кој првпат беше идентификуван во 2019 година. Тие ја нарекоа новата кампања ErrorFather по ID на ботот Telegram и идентификуваа 15 примероци од малициозен софтвер поврзани со кампањата ErrorFather. Истражувачите забележуваат дека нападите се во тек, а некои C&C сервери се сè уште активни.
Напаѓачите се потпираат на тоа дека корисниците ќе направат грешка. Злонамерниот софтвер е маскиран како легитимна банка или апликации за автентикација или ажурирање и користи икони на Google Play и Chrome. Напаѓачите користат phishing сајтови за да ги дистрибуираат овие апликации.
Кербер собира и испраќа податоци како списоци со апликации, контакти, скриншотови од екранот, статус на уредот и други податоци до напаѓачите. Исто така, може да украде СМС или да испраќа пораки, да снима аудио и да остварува повици.
Откако ќе се идентификува потенцијална цел (апликација), малициозен софтвер ја преклопува со лажна страница за фишинг за да ја измами жртвата да внесе детали за најавување или кредитна картичка.
Злонамерниот софтвер може да имитира интеракција на корисникот, кликови и различни влезни гестови и да се деинсталира кога напаѓачите ќе ја завршат работата.
Истражувачите на Cyble препорачуваат корисниците на Android да преземаат апликации само од официјални извори, да проверуваат дали Google Play Protect е активен на уредот, да внимаваат со дозволите што им ги даваат на апликациите и да не отвораат сомнителни линкови што ги добиваат преку СМС или е-пошта.