返回 TI 主页

背景介绍

近期奇安信病毒响应中心在日常监测中,发现大量Cerberus银行木马,其通过仿冒一些流量较大的APP,甚至通过仿冒“新型冠状病毒”进行传播。

Cerberus银行木马最早出现在2019年6月,当时研究人员将该木马作为Anubis的变体进行分析命名。然而其作者在Twitter上发文并建议安全厂商将其命名为:Trojan-Android:Banker-Cerberus,至此Cerberus(地狱犬)正式出现在大众的视野中。

Cerberus作者声称其过去两年一直处于私人运营,目前正在寻找合作伙伴中,且正式在地下论坛开始进行租赁。Cerberus具有专门的销售渠道,而且目前客户广泛,其木马经过不断更新后,目前已可以适配大多数国家。Cerberus作者也声称其代码不是继承自Anubis或其它银行木马,而是重新编写的。

在进入2020年以后,Cerberus变得更为活跃,在经过功能更新后该木马可以盗用Google Authenticator应用创建的2-Factor Authentication(2FA)代码,从而绕过身份验证服务,并且能够启动TeamViewer实行远控。

而且借着“新型冠状病毒”在全球的爆发之际,其也利用“新型冠状病毒”作为诱饵进行传播,成为第一个借“新型冠状病毒”传播的移动木马。

新型冠状病毒样本信息:

应用名 Coronavirus
包名 hdjro.nzaqrgffealnhmorwihd.mfukiybfx
MD5 B8328A55E1C340C1B4C7CA622AD79649
图标

Cerberus木马分析

Cerberus木马与其它银行木马一样功能众多,而且由于其一直在地下论坛中进行租赁,可以根据“客户”的不同需求进行功能的增加等,加上其作者的高调做派,俨然已经接过了Anubis的邪恶传承,成为了目前威胁最大的银行木马。

Cerberus木马接棒Anubis:

图片来自ThreatFabric

Cerberus木马运行以后会诱骗用户激活设备管理器、隐藏自身图标、防止卸载等方式进行自我保护。Cerberus木马会获取并上传用户手机中短信、通讯录、手机已安装的应用信息、gmail信息等。此外Cerberus木马还可以截取用户手机屏幕,电话呼叫转移,获取用户银行账号、密码等恶意操作,并可以通过Team Viewe进行远控。

相比于2019年6月发现的Cerberus初代木马,目前Cerberus木马已增加了更多的恶意功能,根据其在论坛的实时更新,我们发现其已可以仿冒Team Viewe,目前并没有看到作者发布新的版本,应该还在测试阶段。

仿冒Team Viewe界面:

Cerberus木马早期远控功能列表:

远控指令 指令含义
push 显示推送通知。单击通知将导致启动指定的应用程序
startApp 启动指定的应用程序
getInstallApps 获取受感染设备上已安装应用程序的列表
getContacts 获取受感染设备上的通讯录
deleteApplication 删除指定应用程序
forwardCall 来电呼叫转移
sendSms 发送短信
startInject 针对指定程序进行攻击
startUssd 调用指定的USSD代码
openUrl 在WebView中打开指定的URL
getSMS 获取受感染设备上的短信
killMe 删除机器人
updateModule 更新模块

Cerberus木马最新远控功能列表:

远控指令 指令含义
grabbing_lockpattern 对用户解锁密码时进行截屏
request_permission 请求敏感权限
run_admin_device 运行设备管理器
URL 在WebView中打开指定的URL
ussd 调用指定的USSD代码
get_data_logs 获取受感染设备上已安装应用程序信息、通讯录、短信
grabbing_google_authenticator2 截取google二次验证输入的信息
notification 设置消息通知图标、标题、内容、样式并发送
grabbing_pass_gmail 获取受感染设备上的gmail信息
remove_app 防止卸载应用
remove_bot 删除机器人
send_sms 发送短信
run_app 运行更新的应用
call_forward 来电呼叫转移
patch_update 更新补丁
run_injects_emails 获取注入的电子邮件页面的账号密码信息
run_injects_banks 获取注入的银行页面的账号密码信息

Cerberus木马经过了这段时间的发展,对木马的保护也在不断的完善,我们在分析最新的样本时发现,Cerberus木马使用了大量的代码混淆、字符串加密、动态加载等方式。如果随着Cerberus的“客户”的增加,相信安全分析人员与Cerberus的对抗在将来是一个更为持久的过程。

大量无用的代码:

经过字符串加密的代码:

加载恶意代码:

连接Team Viewe:

Cerberus木马数据总结

通过Janus平台监测到的Cerberus木马:

近期Cerberus木马针对性较强的仿冒应用信息。

Cerberus仿冒whatsapp:

应用名 whatsapp
包名 xpmwjinzd.qzcwcqqkimadlxdk.hsomeub
MD5 d2f9c7e9319cd3425f53319bf1e4f7e2
图标

Cerberus伪装为西班牙税务局AEAT:

应用名 AEAT
包名 jtizpsfwsbfcedbb.xjlej.ssblmgielhtp
MD5 F438F12BAE6132C3997D4CF6153D36CA
图标

近期Cerberus仿冒较多的应用图标:

总结

目前暂时没有发现Cerberus仿冒国内应用,但随着Cerberus木马的不断更新,“潜在客户”的不断增加,Cerberus将目标瞄准到国内也是可能发生的。奇安信病毒响应中心会随时关注Cerberus木马的实时动态,同时奇安信病毒响应中心提醒用户不要安装未知来源的APP,同时提高个人的安全意识。

目前奇安信威胁情报中心文件深度分析平台:(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

IOC

文件MD5:

B8328A55E1C340C1B4C7CA622AD79649

d2f9c7e9319cd3425f53319bf1e4f7e2

F438F12BAE6132C3997D4CF6153D36CA

8ff2ac17c07768c5079e646dd9f1e550

12a57ba309cc0e9421d36abbf78d51e6

79157c3e0a3aeab23d190d4b2ebe045b

C2:

bilbaobbva.com

vergaespanola.site

postarmailsrv.xyz

http://kryll.ug

http://aeat-tgss.com/aeat.apk

CERBERUS