前言
Cerberus是一款臭名昭著的银行木马,而它的开发者在经历了最后一次源代码拍卖失败之后,竟然直接将该恶意软件的源代码发布在了地下黑客论坛上。
拍卖失败,怒发源码!
在今年的七月份,臭名昭著的Cerberus Android银行木马程序其背后的开发人员对外以五万美元的起拍价拍卖Cerberus银行木马项目的源代码,不过当时参与拍卖的买家本来可以以十万美元的最终价格成交的,鬼知道最终因为什么原因导致了“流标”?
整个Cerberus银行木马项目包括组件的源代码(恶意APK文件、后台管理面板和C2服务器端源码)、安装指南、安装脚本工具、具有活动许可证的客户列表以及客户和潜在买家的联系方式。
卡巴斯基研究人员德米特里·加洛夫在卡巴斯基NEXT2020演讲时曾对外宣布,这款银行木马的源代码将以Cerberus v2的名义免费分发。
Cerberus是一款“勒索软件即服务”项目,于2019年8月份首次出现在公众眼前。实际上,Cerberus是一个从零开始开发的针对Android设备的远程访问工具(RAT),而且它没有借鉴其他任何恶意软件的源代码。
在Cerberus的源代码开始拍卖之前,Cerberus Android银行木马程序的维护人员所提供的BOT组件每年租金高达12000美元,同时他们还提供了4000美元/3个月和7000美元/6个月的恶意软件使用许可证。
Cerberus分析
Threat Fabric是第一个对Cerberus Android银行木马程序进行分析的安全研究人员,根据他透露的信息,Cerberus Android银行木马程序实现了跟其他Android RAT工具类似的功能,并且Cerberus允许威胁攻击者实现对受感染设备的完整控制权。
除此之外,Cerberus恶意软件还实现了银行木马的功能,比如说覆盖攻击、SMS短信拦截功能和通讯录列表访问功能等等。Cerberus恶意软件支持的功能如下列表所示:
- 屏幕截图;
- 音频录制;
- 记录键盘击键数据;
- 发送、接收和删除SMS短信消息;
- 窃取设备中通讯录联系人信息;
- 呼叫转移;
- 收集设备信息;
- 跟踪设备地理位置;
- 窃取目标用户账号凭证;
- 禁用播放保护功能;
- 下载其他应用程序和Payload;
- 从受感染设备中删除应用程序;
- 推送通知;
- 锁定设备屏幕;
在今年的七月份,来自AVAST的研究人员在Google Play应用商店中发现了一个货币转换器(应用程序),这个应用程序当时已经有超过一万名用户下载安装了,而这款应用程序的主要功能就是传播Cerberus银行木马。
卡巴斯基的安全研究人员表示:“尽管Cerberus的俄语开发人员在今年四月曾为该项目指定了一个新的愿景,但由于开发团队的不幸解散,今年的七月底便开始了对Cerberus银行木马源代码的拍卖。由于各种因素还不明确,Cerberus银行木马的开发人员后来决定在一个俄语地下黑客论坛上发布了高级用户的Cerberus项目源代码。”
地下黑客论坛以及社区中恶意软件和银行木马源代码的可用性对广大用户构成了严重的威胁。网络犯罪分子可以用这些源代码来定制开发他们自己的恶意软件版本并在野外转播。卡巴斯基的研究人员也证实了,Cerberus源代码在地下黑客论坛泄露之后,欧洲地区和俄罗斯的感染用户数量立即增长了不少。
跟此前其他与Cerberus相关的网络威胁活动不同的是,此次事件中受影响的主要是俄罗斯地区的移动设备用户,但网络犯罪分子同时也在使用Cerberus来对除俄罗斯地区以外的用户进行攻击。
Cerberus Android特洛伊木马的维护者决定出售源代码,因为他们的团队分裂了,而且他们也没有时间提供全天候的技术支持。
安全研究专家还表示:“我们将继续对此次源码泄露事件进行调查,并对泄露的Cerberus项目源代码进行深入分析。除此之外,我们还会对Cerberus木马活动进行跟踪。与此同时,广大用户可以采取最佳安全防御解决方案来保护自己移动设备和银行账号的安全。”