ケルベロス
サイバー犯罪者は、さまざまな脅迫的な操作で独自のハッキングツールを使用する代わりに、それらをサービスとして販売することを選択する場合があります。この傾向はサービスとしてのマルウェアと呼ばれ、サイバー犯罪の世界ではかなり人気があります。このように、技術的なスキルを持たない個人でさえ、脅威を操作し、無実のユーザーの後ろで収入を生み出すことができます。最近、マルウェア研究者は、ハッキングフォーラムで提供されている新しいサービスとしてのマルウェアを発見しました。この脅威はケルベロスと呼ばれ、ロシア連邦で発生したと考えられています。 Cerberusは、Androidベースのバンキング型トロイの木馬であり、重要なデータを収集し、マルウェアデバッグソフトウェアを回避する優れた機能を備えています。
目次
安くて定期的に更新
人気のあるAnubisバンキング型トロイの木馬とは異なり、Cerberusバンキング型トロイの木馬はかなり安価であるため、すぐに大きな注目を集める可能性があります。さらに、Cerberus Trojanの作成者は、ハッキングツールを定期的に更新するようにしています。これにより、このサービスとしてのマルウェアは、潜在的な購入者にとってさらに魅力的なものになります。
今週のマルウェアEp8:COVID-19ロックダウンにより在宅勤務詐欺が増加#thisweekinmalware
フィッシングオーバーレイ
Cerberusバンキング型トロイの木馬は、ユーザーが主に正規のバンキングアプリケーションと対話しようとするときに、ディスプレイフィッシングオーバーレイに依存しています。このトロイの木馬にはキーロガーモジュールもあり、オペレーターはさまざまなアカウントのユーザー名やパスワードなどのデータを被害者から収集できます。さらに、この脅威はユーザーの連絡先リストを収集する可能性もあります。
Cerberusハッカーは、ソーシャルメディアを介してデバイス設定を変更し、マルウェアを宣伝しようとしています
Cerberusが感染したデバイスにアクセスすることを許可する基本的なコードは、下の画像に示すように、特定の特権のために変更されたAndroidデバイスのアクセシビリティサービスから始まります。
アクセシビリティサービスの設定が変更されたCerberusに感染したAndroidデバイス–出典:Threatfabric.com
複数のセキュリティ研究者によって、Cerberusバンキングマルウェアの背後にいる攻撃者が、マルウェアを広めるためにコンテンツやメディアコンテンツを宣伝するために過去に使用された公式のTwitterアカウントを持っていることが明らかになりました。以下のスクリーンショットは、最近の広告キャンペーンのTwitterアカウントからのものです。
CerberusハッカーのTwitterアカウントとマルウェアを宣伝するツイートの画像–出典:Threatfabric.com
対象となる銀行アプリケーションの数が限られている
Cerberusトロイの木馬が標的とするようにプログラムされた銀行のWebサイトとアプリケーションの数はまだかなり限られています。その中には、7つの米国の銀行アプリケーション、7つのフランスの銀行アプリケーション、および1つの日本の銀行アプリケーションがあります。バンキングアプリケーションとは別に、CerberusTrojanのターゲットリストには15の非バンキングアプリケーションもあります。この脅威は、ユーザーがリストにあるアプリケーションの1つを開いたときにそれを検出し、銀行ポータルの正当なオーバーレイとほぼ同じ偽のフィッシングオーバーレイにログイン資格情報を入力するように仕向けることができます。 Cerberusバンキング型トロイの木馬は、多くの銀行Webサイトが追加の安全対策として提供している2要素認証を回避できる可能性もあります。
Cerberus Trojanの多くの巧妙なアクションには、Flashオーバーレイが含まれます。このようなプロセスでは、下の画像に示すように、無害なログイン画面のように見えるFlashオーバーレイを表示してユーザーをターゲットにします。このようなオーバーレイを通じて、Cerberusは、表示フォームが正当に見えるため、問題を疑わない可能性のあるユーザーから銀行の詳細またはクレジットカード情報を取得する場合があります。サンドボックス環境は、Cerberusにデータを収集し、その悪意のある機能を実行するように促す場合があります。
Cerberusに感染したデバイスからのフラッシュオーバーレイカードフォームの例-出典:Threatfabric.com
潜在的なサンドボックス環境を回避するために、Cerberusバンキング型トロイの木馬は興味深い手法を使用しています。このトロイの木馬は、ユーザーの足跡を数えるセンサーの1つを使用して、正規のデバイスで実行されているかどうかを確認します。ゼロのままの場合、マルウェアは休止状態のままになります。しかし、一定の足跡をたどると、ケルベロスはその有害な活動を続行します。
多くのサイバー犯罪者がこのサービスとしてのマルウェアの提供に関心を持っている可能性があり、近い将来、Cerberusトロイの木馬が関与する攻撃が急増する可能性があります。 Androidユーザーは、デバイスのセキュリティの重要性を過小評価するのをやめ、正規のマルウェア対策アプリケーションをインストールする必要があります。これにより、スマートデバイスがCerberusバンキング型トロイの木馬などの脅威から保護されます。
