Cyble araştırmacıları, Cerberus Android bankacılık truva atının antivirüs motorları tarafından tespit edilmekten başarıyla kurtulan yeni ve gelişmiş bir versiyonunu tespit etti.
Araştırmacılar, kötü amaçlı yazılımın iletişim kurduğu Telegram botundan adını alan yeni kötü amaçlı yazılım çeşidine “ErrorFather” adını verdiler. Yeni Cerberus çeşidi, yükünü dağıtmak için çok aşamalı bir düşürücü kullanıyor ve uzaktan saldırılar, keylogging ve katman saldırıları yoluyla mali dolandırıcılık gerçekleştirebiliyor.
Araştırmacılar, “ErrorFather kampanyası, siber suçluların sızdırılan kötü amaçlı yazılım kaynak kodunu nasıl yeniden kullanmaya ve kullanmaya devam ettiğini örnekleyerek, orijinal kötü amaçlı yazılımın keşfinden yıllar sonra bile Cerberus tabanlı saldırıların devam eden tehdidinin altını çiziyor” dedi.
Yeni Cerberus Varyantı Tespitten Kaçıyor
Cerberus Android bankacılık truva atı ilk olarak 2019’da tanımlandı ve kaynak kodu sızdırıldıktan sonra Alien, ERMAC ve Phoenix gibi varyasyonlar ortaya çıktı; bunlar tehdit aktörleri tarafından VNC, keylogging ve katman saldırıları kullanılarak mali dolandırıcılık için kullanılmaya devam etti.
ErrorFather kampanyası, Cerberus kodunu “çatallama” modelini sürdürüyor. ErrorFather’ın arkasındaki tehdit aktörü, kötü amaçlı yazılımı biraz değiştirmiş olsa da, Cyble Research and Intelligence Labs’tan (CRIL) araştırmacılar, “esasen orijinal Cerberus koduna dayanmaya devam ediyor ve bu da onu tamamen yeni bir kötü amaçlı yazılım olarak sınıflandırmayı uygunsuz hale getiriyor” diye yazdı.
Daha eski bir kötü amaçlı yazılım türüne dayanmasına rağmen, “bu kampanyada kullanılan değiştirilmiş Cerberus, antivirüs motorları tarafından tespit edilmekten başarıyla kurtuldu ve bu da önceki sızıntılardan kaynaklanan yeniden düzenlenen kötü amaçlı yazılımların oluşturduğu devam eden riskleri daha da vurguladı” diye yazdılar.
‘ErrorFather’ Chrome ve Play Store Uygulaması Olarak Poz Veriyor
Araştırmacılar yakın zamanda Chrome ve Play Store uygulamaları gibi görünen birkaç kötü amaçlı örneği ortaya çıkardılar. Bu örneklerde bankacılık truva atı yükünü dağıtmak için çok aşamalı bir damlalık kullanıldı.
Tanımlanan örnek – 0c27ec44ad5333b4440fbe235428ee58f623a878baefe08f2dcdad62ad5ffce7 – imzalı Android Paket Kiti (.apk) dosyasını yüklemek için ilk damlalık uygulaması görevi görür, Telegram Bot ile iletişim kurar ve cihaz modelini, markasını ve API sürümünü gönderir.
Araştırmacılar, kampanyada oturum bazlı damlalıklar ve bunların yükleri de dahil olmak üzere yaklaşık 15 örnek kullanım tespit ettiklerini söyledi. İlk örnek Eylül ortasında tespit edildi, ardından Ekim ayının ilk haftasında gözle görülür bir artış görüldü ve aktif bir Komuta ve Kontrol (C2) sunucusu “devam eden kampanyaları işaret ediyor.”
İkinci aşama APK dosyası, asset klasörü içerisinde “final-signed.apk” olarak isimlendirilir. Google Play Store simgesini kullanır ve “kısıtlı ayarları atlayarak APK’yı varlıklardan yüklemek için oturum tabanlı bir kurulum tekniği” kullanır.
Bu ikinci aşamadaki damlalık, “tehlikeli” izinler ve hizmetler talep eden bir bildirim dosyasına sahiptir, ancak kod uygulaması eksiktir; bu dosya, kurulumdan hemen sonra şifreyi çözmek ve yürütmek için yüklenen “libmcfae.so” adlı yerel bir dosya aracılığıyla gönderilir. son yük.
Yerel dosya, şifrelenmiş “rbyypivsnw.png” dosyasını kullanır ve AES anahtarını ve başlatma vektörünü alır, şifre çözme işlemini gerçekleştirir ve “decrypted.dex” dosyasını konuma yükler. /data/data/suds.expend.affiliate.rising/code_cache/.
Şifresi çözülmüş.dex dosyası, keylogging, katman saldırıları, VNC, PII toplama ve bir Komuta ve Kontrol sunucusu oluşturmak için Etki Alanı Oluşturma Algoritmasının (DGA) kullanımını içeren kötü amaçlı yetenekler içeren son veridir. Araştırmacılar, “Özellikle decrypted.dex dosyası VirusTotal’a gönderildiğinde herhangi bir antivirüs motoru tarafından işaretlenmedi” dedi (aşağıdaki resim).
ErrorFather’ın arkasındaki tehdit aktörü, Cerberus değişken adlarını değiştirmiş, daha fazla gizleme kullanmış ve kodu yeniden düzenleyerek “Cerberus’un 2019’da tanımlanmasına rağmen tespitten etkili bir şekilde kaçınmıştı.”
Etki Alanı Oluşturma Algoritması, mevcut tarih ve saati elde etmek için İstanbul saat dilimini kullanıyor; bu da belki de kampanyanın tek bir kaynağına işaret ediyor.
Cyble araştırmacıları, kötü amaçlı yazılım tarafından gerçekleştirilen 16 eylemin yanı sıra MITRE ATT&CK tekniklerini ve güvenlik ihlali göstergelerini (IoC’ler) içeren bir listeye yer verdi.
Kaplama tekniği önceki varyantlardan farklı değildir. Hedefler belirlendikten sonra kötü amaçlı yazılım, HTML web enjeksiyon sayfasını almak için “getFile” eylemini kullanır. Kurban hedef uygulamayla etkileşime girdiğinde, kötü amaçlı yazılım, meşru uygulama üzerinden sahte bir kimlik avı sayfası yükler. Araştırmacılar, “Bu, kurbanın sahte bankacılık arayüzüne giriş bilgilerini ve kredi kartı bilgilerini girmesi için kandırıyor” dedi.