پس از آنکه چند تروجان اندرویدی محبوب مانند Anubis، Red Alert 2.0، GM bot و Exobot کسبوکارهای بدافزار بهعنوان سرویس خود را رها کردند، یک بازیگر جدید در اینترنت با قابلیتهای مشابه آنها ظهور پیدا کرده است که خدمات اجارهی ربات اندرویدی را برای گروهها ارائه میدهد.
تروجان دسترسی از راه دور جدید با نام Cerberus به مهاجمان راه دور اجازه میدهد تا کنترل کامل دستگاههای اندرویدی آسیبدیده را به دست گیرند و دارای قابلیتهای تروجان بانکی مانند استفاده از حملات overlay، کنترل پیام متنی کوتاه و برداشتن فهرست تماسها است.
بهگفتهی نویسندهی این بدافزار، Cerberus از ابتدا کدنویسی شده است و از کد هیچ یک از تروجانهای بانکی موجود استفاده نکرده است. این نویسنده همچنین ادعا کرده است که حداقل از دو سال قبل از اجارهی آن به افراد علاقهمند با قیمت ۲ هزار دلار برای ۱ ماه، ۷ هزار دلار برای ۶ ماه و ۱۲ هزار دلار برای ۱۲ ماه، از این تروجان برای عملیات خصوصی استفاده میکرد. (ویدئو)
به گفتهی پژوهشگران امنیتی ThreatFabric که نمونهای از تروجان Cerberus را تجزیه و تحلیل کردند، این بدافزار یک فهرست مشترک از ویژگیها را دارد که ازجملهی آنها میتوان به موارد زیر اشاره کرد:
- تهیهی اسکرینشات
- ضبط صدا
- ثبت فشرده شدن کلیدها
- ارسال، دریافت و حذف SMSes
- سرقت فهرستهای تماس
- ارسال تماسها
- جمعآوری اطلاعات دستگاه
- ردیابی مکان دستگاه
- سرقت گواهینامههای حساب
- غیرفعال کردن Play Protect
- بارگیری برنامهها و باردادههای اضافی
- حذف برنامهها از دستگاه آلوده
- ارسال هشدارها
- قفل صفحهی دستگاه
بدافزار Cerberus پس از آلودهسازی، ابتدا آیکن خود را از کشوی برنامه مخفی میکند و سپس با جا زدن خود بهعنوان سرویس فلش پلیر مجوز دسترسی میخواهد. این بدافزار درصورت دریافت مجوز بهطور خودکار دستگاه آسیبدیده را در سرور دستور و کنترل خود ثبت میکند و به خریدار یا مهاجم اجازه میدهد تا بهصورت از راه دور کنترل دستگاه را به دست گیرند.
بدافزار Cerberus برای سرقت شماره کارت اعتباری کاربران، گواهینامههای بانکی و گذرواژههای سایر حسابهای آنلاین به مهاجمان اجازه میدهد تا حملات screen overlay را از داشبورد راه دور خود راهاندازی کنند. در حملهی screen overlay، این تروجان یک پوشش روی برنامههای بانکی تلفن همراه قانونی نمایش میدهد و مانند حملات فیشینگ کاربران اندرویدی را فریب میدهد تا گواهینامههای بانکی خود را در صفحهی ورود جعلی وارد کنند.
بهگفتهی پژوهشگران، Cerberus شامل الگوهای حملهی Overlay برای ۳۰ هدف منحصربهفرد از جمله ۷ برنامهی بانکی فرانسوی، ۷ برنامهی بانکی امریکایی، ۱ برنامهی بانکی ژاپنی و ۱۵ برنامهی غیربانکی است. Cerberus از برخی روشهای جالب برای دور زدن برنامههای ضد بدافزار استفاده میکند و از تجزیه و تحلیل آن مانند استفاده از حسگر شتابسنج دستگاه برای اندازهگیری حرکات قربانی جلوگیری میکند.
این ایده بسیار ساده است، با حرکت کاربر معمولاً دستگاه اندرویدی آن دادههای حسگر حرکتی ایجاد میکند. این بدافزار گامهای کاربر را از طریق حسگر حرکتی دستگاه کنترل میکند تا بررسی کند که آیا درحال اجرا در یک دستگاه اندرویدی واقعی است یا خیر. درصورتیکه دستگاه کاربر دادههای حسگر را از دست بدهد، این بدافزار فرض میکند که جعبهی شنی مربوط به پویش بدافزار یک شبیهساز بدون حسگرهای حرکتی است و کد مخرب اجرا نخواهد کرد.
بااینحال، این روش منحصربهفرد نیست و قبلاً توسط تروجان بانکی اندرویدی محبوب Anubis پیادهسازی شده است. لازم به ذکر است که بدافزار Cerberus از هیچ آسیبپذیری برای نصب خودکار در یک دستگاه هدف بهرهبرداری نکرده است. در عوض نصب این بدافزار به روشهای مهندسی اجتماعی وابسته است. بنابراین، برای جلوگیری از قربانی شدن در این حملات بدافزاری، به کاربران توصیه میشود تا مراقب فایلهایی که در گوشی خود دانلود میکنند، باشند.