Código fonte do cavalo de Tróia bancário Cerberus lançado gratuitamente para ciberataques
Um leilão projetado para render ao desenvolvedor do malware Android $ 100.000 falhou.
O código-fonte do Trojan bancário Cerberus foi lançado como malware gratuito em fóruns de hackers clandestinos após um leilão fracassado.
Falando no Kaspersky NEXT 2020 na quarta-feira, o pesquisador de segurança cibernética da Kaspersky, Dmitry Galov, disse que o código vazado, distribuído sob o nome Cerberus v2, representa uma ameaça crescente para usuários de smartphones e o setor bancário em geral.
Cerberus é um Trojan de banco móvel projetado para o sistema operacional Google Android. Em circulação desde pelo menos julho de 2019, o cavalo de Troia de acesso remoto (RAT) é capaz de realizar vigilância encoberta, interceptar a comunicação, adulterar a funcionalidade do dispositivo e roubar dados, incluindo credenciais bancárias, criando sobreposições em aplicativos existentes de bancos, varejo e redes sociais.
O malware é capaz de ler mensagens de texto que podem conter senhas de uso único (OTP) e códigos de autenticação de dois fatores (2FA), evitando assim as proteções de conta 2FA típicas. OTPs gerados por meio do Google Authenticator também podem ser roubados.
No início de julho, os pesquisadores do Avast descobriram o Cerberus no Google Play , embrulhado e disfarçado como um conversor de moeda legítimo. Acredita-se que, quando o aplicativo foi submetido ao Google para aprovação, as funções eram inocentes e legítimas – mas, uma vez que uma grande base de usuários foi estabelecida, um pacote de atualização implantou o Trojan nos dispositivos das vítimas.
Mais tarde, no mesmo mês, Hudson Rock avistou Cerberus indo a leilão . Um anúncio foi postado pelo mantenedor do malware, revelando que a equipe de desenvolvimento estava se separando e, portanto, um novo proprietário estava sendo procurado.
A operadora definiu um preço inicial de $ 50.000 – com o objetivo de gerar até $ 100.000 – para o código-fonte .APK do malware, lista de clientes, servidores e código para painéis de administrador. O leiloeiro afirmou que a Cerberus gerou US $ 10.000 em receita por mês.
No entanto, parece que não houve compradores.
“Apesar dos desenvolvedores de língua russa da Cerberus terem marcado uma nova visão para o projeto em abril deste ano, os leilões para o código-fonte começaram no final de julho devido à separação da equipe de desenvolvimento”, disse Kaspersky. “Devido a uma culminação pouco clara de fatores, o autor mais tarde decidiu publicar o código-fonte do projeto para usuários premium em um fórum clandestino popular de língua russa.”
A empresa de segurança cibernética afirma que após o lançamento gratuito do código-fonte da Cerberus no submundo, houve um “aumento imediato” nas infecções de aplicativos móveis na Europa e na Rússia. De particular interesse, Galov diz, é que os clientes anteriores não foram encorajados a atacar os usuários de dispositivos móveis russos – mas no momento em que o código foi lançado, o cenário de ataque mudou.
Quando o Cerberus foi oferecido como Malware-as-a-Service (MaaS), o escopo da ameaça foi restrito a grupos de ataque capazes de pagar pelo código, com assinatura de $ 4.000 por um mês a $ 12.000 por um ano. Agora que o desenvolvedor lavou as mãos do projeto e lançou o código-fonte gratuitamente, podemos ver não apenas uma adoção crescente do Cerberus, mas também potencialmente novas variantes baseadas no código que vazou no futuro.
“Continuamos a investigar todos os artefatos encontrados associados ao código e rastrearemos as atividades relacionadas”, comentou Galov. “Mas, enquanto isso, a melhor forma de defesa que os usuários podem adotar envolve aspectos de higiene de segurança que eles já deveriam estar praticando em seus dispositivos móveis e segurança bancária.”
