Il codice sorgente del famigerato Trojan bancario Cerberus è stato rilasciato gratuitamente su alcuni forum di hacking a seguito di un’asta fallita.
Gli autori del famigerato Trojan bancario Cerberus hanno rilasciato il suo codice sorgente su forum di hacking dopo aver tentato di metterli all’asta.
A luglio, gli autori del famigerato trojan bancario Android Cerberus hanno messo all’asta il loro progetto per ad un prezzo base di 50.000 dollari, ma agli acquirenti era stata data la possibilità di chiudere l’asta per 100.000 dollari.
Il progetto complessivo include il codice sorgente di tutte le componenti del malware (l’applicazione malevola (APK), il pannello di amministrazione e il codice sorgente del sistema di comando e controllo), la guida all’installazione, una raccolta di script per l’installazione, l’elenco di clienti con una licenza attiva, e persino un insieme di contatti di potenziali acquirenti.
In occasione dell’evento Kaspersky NEXT 2020, il ricercatore Dmitry Galov del Kaspersky Lab ha annunciato la scoperta della disponibilità del codice sorgente del famoso Trojan (con il nome Cerberus v2) su forum frequentati da criminali informatici.
Cerberus è un banking Trojan distribuito con un modello di malware-as-a-service, ovvero un modello di vendita in cui un criminale informatico può pagare per ottenere la propria versione del malware. Cerberus è apparso per la prima volta nel panorama delle minacce nell’agosto 2019, è un remote access trojan (RAT) Android sviluppato da zero che non ha componenti software in comune ad altri malware.
Prima dell’asta, gli autori del Trojan Cerberus offrivano il loro malware in affitto per un massimo di $12.000 all’anno, mentre era possibile pagare una licenza di 3 mesi al costo di per $4.000e oppure $7.000 per 6 mesi.
Le funzionalità implementate in Cerberus consentono ai suoi operatori di ottenere il pieno controllo dei dispositivi infetti.
Il malware implementa funzionalità comuni ad altri trojan bancari come l’uso di attacchi overlay, la capacità di intercettare i messaggi SMS e l’accesso all’elenco dei contatti delle vittime. Di seguito alcune delle funzionalità pubblicizzate dagli autori in alcuni post apparsi in diversi forum dell’underground criminale:
- Cattura screenshot
- Registrazione dell’audio
- Registrazione dei tasti digitati
- Invio, ricezione ed eliminazione di SMS
- Accesso ad elenchi di contatti
- Inoltro chiamate
- Raccolta di informazioni sul dispositivo
- Rilevamento della posizione del dispositivo
- Capacità di rubare le credenziali degli account delle vittime
- Capacità di disabilitare il sistema di protezione Google Play Protect
- Scaricare app e payload aggiuntivi
- Rimuovere le app dal dispositivo infetto
- Gestire notifiche push
- Blocco dello schermo del dispositivo
A dimostrazione del livello di diffusione della minaccia, in luglio gli esperti di sicurezza di AVAST hanno scoperto nello store ufficiale di Google Play un’applicazione per la conversione di valuta sviluppata per distribuire il Trojan bancario Cerberus, a render più grave la scoperta è in che l’applicazione era stata scaricata da oltre 10.000 utenti sino a quel momento.
“Nonostante gli sviluppatori di lingua russa di Cerberus abbiano rilasciato una nuova versione del progetto in aprile, in luglio il codice del Trojan è stato messo all’asta, probabilmente a causa di uno scioglimento del team di sviluppo”, afferma Kaspersky . “A causa di una serie di circostanze non del tutto chiare, l’autore ha successivamente deciso di pubblicare il codice sorgente del progetto per gli utenti premium su un popolare forum underground in lingua russa.”
Per quale motivo la diffusione del codice sorgente di malware rappresenta un fattore di rischio per la sicurezza dei dispositivi in tutto il mondo?
Fonte: Bleeping Computer
La disponibilità del codice sorgente di un malware consente ai criminali informatici di creare una propria versione del Trojan introducendo talvolta nuove funzionalità e favorendo una naturale evoluzione della minaccia.
A riprova di quanto sto dicendo, i ricercatori di Kaspersky hanno confermato che in seguito al rilascio del codice sorgente di Cerberus nell’ecosistema criminale, hanno già osservato un aumento del numero di infezioni in Europa e Russia.
A differenza di campagne passate associate al malware Cerberus, sono stati infettati anche i dispositivi mobili di utenti russi, una circostanza che suggerisce che i criminali dietro questi attacchi operano probabilmente fuori dalla Russia. Ricordiamo che gruppi di criminali russi di solito non prendono di mira gli utenti della Federazione Russa per evitare la risposta delle autorità locali.
Quali suggerimenti per aumentare la sicurezza dei nostri dispositivi?
Al solito lasciate che vi suggerisca di installare un software anti-malware sul vostro dispositivo mobile, installate solo applicazioni di cui avete reale bisogno, mantenete aggiornati il sistema operativo e le app installate.
