安全研究人员在Google Play上发现了伪装成合法货币应用程序的Cerberus银行木马。
周二,Avast的网络安全团队表示,该恶意软件构成了专为西班牙用户设计的合法货币转换器应用程序。
总计翻译为“货币计算器”的软件“ Calculadora de Moneda”已被下载超过10,000次。
我们的移动设备(包括智能手机和平板电脑)现在通常是关键产品,不仅用于与朋友和家人进行通信,还用于娱乐,工作以及作为我们财务帐户的网关。
结果,移动恶意软件已成为当今的常见威胁。为了阻止恶意应用程序进入我们的设备,包括Google和Apple在内的供应商已针对其官方受信任的应用程序存储库中托管的软件建立了严格的安全措施。
但是,有时威胁仍然可以使网络滑倒。
另请参阅: Android恶意软件可以窃取Google Authenticator 2FA代码
该恶意应用在被Google Play接受后的最初几周内冒充并充当合法应用,从而绕过了Google的安全壁垒。看来,随着用户在三月份开始下载该应用程序,该软件起初没有造成任何损害,实际上充当了合法且有用的实用程序。
但是,在建立了对不断增长的用户基础的信任之后,该应用程序随后触发了休眠代码,这些代码成为了Cerberus Trojan的窃贼。
几周后激活了将Calculadora de Moneda连接到命令和控制(C2)服务器的代码,命令该应用程序将其他Android应用程序包(APK)下载到设备。
一旦执行,APK就会丢弃Cerberus,这是一种相对较新的木马,自2019年6月以来一直在流通。
CNET: 访问权限到期后,Facebook与开发人员共享用户数据
该恶意软件会在现有银行和金融应用程序之间创建覆盖。Cerberus将在后台潜伏,等待用户输入其帐户凭据,然后该信息被盗并发送给攻击者的C2。
Avast指出,该恶意软件足够复杂,可以读取您的文本消息(通常用于传递一次性密码(OTP))以及获取两因素身份验证(2FA)详细信息。这些安全措施旨在进一步保护我们的在线银行业务,但是Cerberus可以规避这些控制。
正如ZDNet在2月份报道的那样,ThreatFabric研究人员检查了Cerberus的毒株,他们说这些功能可以用来窃取通过Google Authenticator生成的OTP,这是基于SMS的2FA密码的替代方案。
TechRepublic: 大流行期间9家高科技产品公司可以购买以重新开设办事处
周一,Avast研究人员指出,截至当晚,C2服务器消失了,Cerberus从货币转换应用程序中消失了。但是,这并不意味着该应用程序仍不应被视为恶意软件和威胁。
“虽然这只是一个很短的时期,但这是欺诈者经常用来躲避保护和检测的一种策略,即限制可以发现恶意活动的时间范围,” Avast说。
Google已被告知研究人员的发现。
ZDNet已与Google联系,并将在收到回复后进行更新。