skip to Main Content

Cybercrime, scoperta Applicazione che veicolava Cerberus su Google Play

Cybercrime, Scoperta Applicazione Che Veicolava Cerberus Su Google Play

di Pierguido Iezzi

L’app “Calculadora de Moneda” per convertire valuta, presente su Google Play, in realtà veicolava Cerberus. Un malware di tipo trojan bancario

Un’applicazione Android all’interno dell’app store di Google distribuisce Cerberus. Lo ha scoperto un groppo di ricercatori di cyber security. Il malware è uno dei più temuti trojan bancari, grazie alla sua abilità di rubare le credenziali, aggirare le misure di sicurezza (compresa l’autenticazione a due fattori, 2FA) e accedere ai messaggi di testo. Questo veniva diffuso tramite l’APP di conversione di valuta “Calculadora de Moneda”), in circolazione per gli utenti Android in Spagna già a partire da marzo. Non si sa, peraltro, se sia presente anche in altri software. Come è comune ormai, Cerberus si è travestito da vera e propria App per accedere ai dettagli dei conti corrente delle proprie vittime, ma ciò che lo differenzia dagli altri malware bancari che sfruttano questo modus operandi è stata la sua abilità nel riuscire a intrufolarsi nel Google Play Store, recentemente rafforzato per evitare queste contaminazioni da parte del cybercrime.

Il cybercrime ha mascherato la vera natura dell’applicazione per Android, attivando il codice malevolo solo in un secondo momento

Secondo gli esperti di cyber security, l’app ha offuscato completamente le sue intenzioni nelle prime settimane dalla data di pubblicazione e mentre era disponibile su Google Play. Durante questo periodo, ha agito normalmente come un convertitore di valuta legittimo senza rubare alcun dato e o causare danni. Una tecnica forse adottata per acquisire furtivamente il maggior numero di utenti possibile prima di iniziare qualsiasi attività dannosa, evitando occhi indiscreti dal team di Google stesso o magari da terze parti. A metà giugno, però, le versioni più recenti del convertitore di valuta si erano aggiornate con un codice droppler, ma senza attivarlo. Poi, il 1 luglio, l’applicazione ha implementato una seconda fase in cui è diventata un droppler vero e proprio, scaricando silenziosamente il malware su dispositivi all’insaputa delle vittime. Inoltre, è stata collegata a un server C2 del cybercrime, che ha scaricato un ulteriore Android Application Package (APK): Cerberus.

Cos’è Cerberus e quali tipi di danni è in grado di causare

Il malware del cybercrime dispone di varie funzionalità di spionaggio e di furto di credenziali. Può sovrapporsi a un’applicazione bancaria esistente e attendere che l’utente acceda al proprio conto bancario. Poi, crea un layover sulla schermata di login delle vittime e ruba le loro credenziali senza che l’utente possa accorgersi che la cosa sia fuori posto o anomala. Come se non bastasse, Cerberus ha la possibilità di accedere ai messaggi di testo delle vittime, il che significa che può visualizzare i codici di autenticazione a due fattori (2FA) inviati tramite conferma sms, come è pratica oramai per tutti. I ricercatori di cyber security hanno rilevato che il server C2 e il payload associato alla campagna erano attivi fino al 6 luglio 2020. Poi, è scomparso e il convertitore di valuta su Google Play è tornato ad essere tale senza traccia di malware.

L’uso della App malevola è stato un test sulla cyber security di Google o di altri?

Possiamo solo ipotizzare il motivo per cui i Criminal Hacker stiano facendo questo: l’app malevola potrebbe essere stata usata per il suo scopo principale (rubare dati sensibili), oppure come “test run”. Ciò allo scopo di valutare se e quando i ricercatori di Google o di cyber security esterni siano stati in grado rilevare il malware.  Al momento, comunque, l’azienda non ha commentato i risultati dello studio. Cerberus è emerso per la prima volta lo scorso agosto sui forum underground del Dark Web, offerto in un modello di malware-as-a-service (MaaS). Da allora è stata individuata una variante Android con capacità di raccolta informazioni molto più ampie e sofisticate e la possibilità di eseguire TeamViewer. 

Il trojan è solo l’ultimo malware a essere veicolato tramite gli store di applicazione. Attenzione a cosa scaricate, soprattutto per Android

Il trojan bancario Cerberus, peraltro, è solo l’ultima famiglia di malware ad essere scoperta su un legittimo store di applicazioni come Google Play. A febbraio, i ricercatori di cyber security avevano individuato otto applicazioni Android dannose, che distribuivano il malware “Haken”, il quale esfiltra i dati sensibili delle vittime e le iscriveva segretamente a costosi servizi di abbonamento premium. Ad aprile, inoltre, è stata scoperta una nuova campagna di spyware denominata PhantomLance, distribuita tramite decine di app all’interno di Google Play. Al momento per tutti gli utenti Android il modo più semplice per proteggersi è prestare attenzione alle autorizzazioni richieste da un’app quando viene scaricata e installata e controllando le valutazioni degli altri utilizzatori. Inoltre, se pensate che richieda più di quanto promette di fornire, consideratela come un chiaro segnale di allarme!

Back To Top