Lanzamiento gratuito del código fuente del troyano bancario Cerberus en la Dark Web

El código fuente del troyano bancario Cerberus se ha publicado como malware gratuito en foros de piratería clandestinos tras una subasta fallida.  A principios de julio, los investigadores de Avast descubrieron Cerberus en Google Play , envuelto y disfrazado como un conversor de divisas legítimo. Se cree que cuando la aplicación se envió a Google […]

El código fuente del troyano bancario Cerberus se ha publicado como malware gratuito en foros de piratería clandestinos tras una subasta fallida. 

A principios de julio, los investigadores de Avast descubrieron Cerberus en Google Play , envuelto y disfrazado como un conversor de divisas legítimo. Se cree que cuando la aplicación se envió a Google para su aprobación, las funciones eran inocentes y legítimas, pero una vez que se estableció una gran base de usuarios, un paquete de actualización implementó el troyano en los dispositivos de la víctima. 

Más tarde, ese mismo mes, Hudson Rock vio a Cerberus yendo a subasta . El responsable del mantenimiento del malware publicó un anuncio que revelaba que el equipo de desarrollo se estaba desintegrando, por lo que se estaba buscando un nuevo propietario.

El operador estableció un precio inicial de 50.000 dólares, con el objetivo de generar hasta 100.000 dólares, para el código fuente .APK, la lista de clientes, los servidores y el código de los paneles de administrador del malware. El subastador afirmó que Cerberus generó 10,000 dólares en ingresos por mes. 

Sin embargo, parece que no hubo compradores.

Cuando Cerberus se ofreció como Malware-as-a-Service (MaaS), el alcance de la amenaza se limitó a los grupos de ataque capaces de pagar el código, con una suscripción desde $4,000 dólares por un mes a $12,000 dólares por un año. Ahora que el desarrollador ha lanzado el código fuente de forma gratuita, es posible que no solo veamos una creciente adopción de Cerberus, sino también posibles variantes nuevas basadas en el código filtrado en el futuro. 

El malware puede leer mensajes de texto que pueden contener códigos de acceso de un solo uso (OTP) y códigos de autenticación de dos factores (2FA), evitando así las protecciones típicas de la cuenta 2FA. Las OTP generadas a través de Google Authenticator también pueden ser robadas. 

Cerberus utiliza táctica de evasión basada en movimiento

Cerberus también utiliza algunas técnicas interesantes para evadir la detección de soluciones antivirus y evitar su análisis, como usar el sensor del acelerómetro del dispositivo para medir los movimientos de la víctima.

La idea es sencilla: a medida que el usuario se mueve, su dispositivo Android generalmente genera cierta cantidad de datos del sensor de movimiento. El malware monitorea los pasos del usuario a través del sensor de movimiento del dispositivo para verificar si se está ejecutando en un dispositivo Android real.

Si el dispositivo del usuario carece de datos del sensor, el malware asume que la caja de arena para escanear malware es un emulador sin sensores de movimiento y no ejecutará el código malicioso.

Sin embargo, esta técnica tampoco es única y ha sido implementada previamente por el popular troyano bancario Android ‘Anubis’ .

Cabe señalar que el malware Cerberus no aprovecha ninguna vulnerabilidad para instalarse automáticamente en un dispositivo de destino en primer lugar. En cambio, la instalación de malware se basa en tácticas de ingeniería social.