Finansal ve sosyal medya uygulamalarını hedefleme yeteneğiyle 2019’da ün kazanan Cerberus Android bankacılık truva atı, çeşitli çatallar ve varyantlar yoluyla gelişmeye ve yayılmaya devam etti.
Son araştırmalar, Cerberus kaynak kodunu kullanan ve bankacılık truva atı yükünü dağıtmak için çok aşamalı bir bırakma mekanizması kullanan ErrorFather adlı yeni bir kampanyayı ortaya çıkardı.
Eylül 2024’te tespit edilen ErrorFather kampanyasında son haftalarda kötü amaçlı örneklerde önemli bir artış görüldü; bu da devam eden aktiviteye ve şüphelenmeyen kullanıcılara yaygın zarar verme potansiyeline işaret ediyor.
Kötü amaçlı yazılım, çok aşamalı bir bırakma tekniği kullanıyor; burada birinci aşamadaki damlalık, oturum tabanlı bir kurulum kullanarak varlıklarından ikinci aşamadaki bir damlalığı yüklüyor.
İkinci aşamadaki damlalık paketlenmiştir ve son yükün şifresini çözmek ve yüklemek için yerel bir kitaplığa (libmcfae.so) güvenir. Son yük olan decrypted.dex, keylogging, katman saldırıları ve uzaktan erişim yetenekleri gibi kötü amaçlı işlevler içeriyor.
ErrorFather kampanyası, Cerberus bankacılık truva atının değiştirilmiş bir versiyonunu kullandı ve bunu gizleme ve kodun yeniden düzenlenmesi yoluyla gizledi.
Başlangıçta tespit sayısına göre yeni bir bankacılık truva atı olduğu tespit edilmiş olsa da, daha derin analizler, özellikle paylaşılan tercih ayarları ve yapısı bakımından Cerberus ile güçlü kod benzerlikleri ortaya çıkardı.
Ancak ErrorFather varyantının C&C yapısı orijinal Cerberus’tan ve daha yeni Phoenix botnet’inden farklıydı ve bu da kötü amaçlı yazılımın benzersiz bir evrimine işaret ediyordu.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)
Kötü amaçlı yazılım, C&C sunucu listelerini iki yöntem kullanarak alıyor: statik olarak birincil bir C&C sunucusundan ve dinamik olarak, MD5 ve SHA-1 karmasını kullanarak geçerli İstanbul saatine göre alanlar oluşturan ve dört uzantıdan birini ekleyen bir DGA kullanarak.
Birincil C&C sunucusu kullanılamadığında, kötü amaçlı yazılım, Alien kötü amaçlı yazılımında da gözlemlenen, ancak alan adı uzantısında farklılıklar ve statik bir liste eksikliği bulunan, oluşturulan alan adlarına bağlanmaya çalışır.
Tuş vuruşları ve kişiler gibi hassas verileri toplamak ve C&C sunucusuna hata günlükleri göndermek için erişilebilirlik hizmetlerinden yararlanarak cihaz bilgilerinin gönderilmesi, sunucudan veri alınması ve saklanması ve VNC işlevselliği için ekran görüntülerinin yakalanması gibi çeşitli eylemleri gerçekleştirir.
Kötü amaçlı yazılım ayrıca kayıtlı kullanıcıları kontrol eder ve cihaz durumu güncellemeleri göndererek, etkilenen cihaz üzerinde sürekli izleme ve kontrol yaptığını gösterir.
Cerberus kötü amaçlı yazılımı, kurbanları hassas bilgileri girmeleri konusunda kandırmak için bir katman saldırısı kullanıyor ve yüklü uygulamaların bir listesini göndererek potansiyel hedefleri belirliyor. Bir hedef bulunduğunda, kötü amaçlı yazılım ilgili HTML yerleştirme sayfasını alır.
Kurban hedef uygulamayla etkileşime girdiğinde, kötü amaçlı yazılım sahte bir kimlik avı sayfası oluşturarak kurbanı oturum açma bilgilerini ve kredi kartı ayrıntılarını ifşa etmesi için kandırıyor ve bu da kötü amaçlı yazılımın mali dolandırıcılık yapmasına olanak tanıyor.
CRIL’e göre, Cerberus tabanlı bir bankacılık Truva atı olan ErrorFather kampanyası, finansal bilgileri çalmak için VNC, keylogging ve HTML enjeksiyonundan yararlanıyor.
Daha eski bir kötü amaçlı yazılım olmasına rağmen, değiştirilmiş Cerberus tespit edilmekten kurtuldu; siber suçlular, sızdırılan kötü amaçlı yazılım kaynak kodunu yeniden kullanmaya devam ediyor ve bu da devam eden Cerberus tabanlı saldırı tehdidini vurguluyor.