Аналитичари малвера из ЦРИЛ-а открили су нову варијанту Андроид банковног тројанца Кербер, малвера који се појавио на хакерским форумима 2019. године као алат за финансијске преваре који се могао изнајмити.
Од тада је Кербер еволуирао тако да сада динамички мијења командне и контролне сервере, а његов софистицирани ланац инфекције компликује откривање и уклањање, упозорава се у извјештају ЦРИЛ-а. Ситуацију додатно компликује и то што сајбер криминалци од септембра појачавају нападе овим малвером.
Ниједан антивирус није детектовао нову верзију Кербера. Домени се генеришу у ходу коришћењем ДГА (Domain Generation Algorithm) за промјену командних и контролних (Ц&Ц) сервера.
Истраживачи Кубла су најприје мислили да је пред њима потпуно нови малвер. Али детаљна анализа открила је сличности кода са Кербером, који је први пут идентификован 2019. Они су нову кампању назвали ЕрорФачер према ИД-у Телеграм бота и идентификовали 15 узорака малвера повезаних са кампањом ЕрорФачер. Истраживачи напомињу да су напади у току, а неки Ц&Ц сервери су и даље активни.
Нападачи се ослањају на то да ће корисници направити грешку. Малвер је маскиран у легитимне апликације банака или апликације за аутентификацију или ажурирања и користи иконе Гугл Плеј и Хром. Нападачи користе фишинг сајтове за дистрибуцију ових апликација.
Кербер прикупља и нападачима шаље податке као што су листе апликација, контакти, скриншотови, статус уређаја и други подаци. Такође може да краде СМС или шаље поруке, снима звук и упућује позиве.
Када се идентификује потенцијална мета (апликација), малвер је прекрива лажном фишинг страницом да би преварио жртву да унесе податке за пријаву или детаље о кредитној картици.
Малвер може да опонаша интеракцију корисника, кликове и разне покрете за унос података и да се деинсталира када нападачи заврше посао.
Истраживачи Кyбла препоручују корисницима Андроида да апликације преузимају само из званичних извора, да провјере да ли је Гугл Плеј Протект активан на уређају, да буду опрезни са дозволама које дају апликацијама и не отварају сумњиве линкове које добију путем СМС-а или мејла, преноси "Курир".
.webp)
