Cerberus: Android-Banking-Malware in Untergrundforen frei verfügbar

kaspersky warnt vor neuer Gefahr für mobile Nutzer durch Cerberus

[datensicherheit.de, 17.09.2020] Nach Erkenntnissen von kaspersky wurde der vollständige Quellcode der „Cerberus“-Malware geleakt und stehe jetzt für Cyber-Kriminelle in Untergrundforen frei zur Verfügung. kaspersky-Experten beobachteten das Comeback dieser „Android“-Banking-Malware seit Juli 2020. Zu diesem Zeitpunkt habe der ursprüngliche Entwickler sein Projekt aufgegeben und das mobile Schadprogramm nach erfolglosen Verkaufsversuchen frei veröffentlicht.

Cerberus mit neuer Funktionalität

Eine neue Funktionalität dieser Malware erlaube das Abgreifen von Daten, die im Zuge der Zwei-Faktor-Authentisierung (2FA) ausgetauscht würden.
Zudem verfüge sie über Funktionen eines „Remote Access Tools“ (RAT) – „Cerberus“-Infektionen hätten daher schon jetzt stark zugenommen, insbesondere in Russland und Europa.

Cerberus: hochentwickelte Banking-Malware für Betriebssystem Android

Bei „Cerberus“ handele es sich um eine hochentwickelte Banking-Malware für das Betriebssystem „Android“. Sie sei im Sommer 2019 entdeckt worden und werde jetzt aktiv als „Malware-as-a-Service“ (MaaS) in verschiedenen Untergrundforen angeboten.
Die Veröffentlichung des Quellcodes – im folgenden „Cerberus v22“ genannt – biete Cyber-Kriminellen nun ganz offen neue Möglichkeiten, den Banking-Sektor über „Android“-Geräte anzugreifen.

Immer mehr Cyber-Kriminelle erwerben Malware Cerberus jetzt kostenlos

Obwohl die Russisch sprechenden „Cerberus“-Entwickler im April 2020 noch neue Pläne für ihr Projekt gehegt hätten, sei der Quellcode Ende Juli 2020 nach dem Auseinanderbrechen des Entwicklerteams zur Versteigerung gebracht worden. Was schließlich zur Zuspitzung der Situation geführt habe, bleibe unklar. Jedenfalls habe der Autor der Malware den Quellcode schließlich den Premium-Nutzern eines russischsprachigen Untergrundforums zugänglich gemacht.
Das Ergebnis sei eine sofortige Zunahme der Infektionen mobiler Anwendungen und von Versuchen, Geld von Verbrauchern in Russland und ganz Europa zu stehlen – „immer mehr Cyber-Kriminelle erwerben die Malware jetzt kostenlos“.

Cerberus kann jetzt auch heimlich SMS-Codes senden und abfangen

Seit der erstmaligen Erfassung im Jahr 2019 sei die „Cerberus“-Funktionalität offenbar auf ein neues Niveau gehoben worden. Hierbei zeige sich eine deutliche Parallele zu „Anubis“, einer weiteren „Android“-Banking-Malware, „die Ende 2019 veröffentlich wurde, zum Schaden von Banken und ihren Kunden“.
kaspersky-Experten haben sich nach eigenen Angaben für ihre Untersuchung das Archiv mit dem geleakten Code von „Cerberus v2“ verschafft und bei einer umfassenden Analyse der Infrastruktur herausgefunden, „dass die Malware jetzt auch heimlich SMS-Codes senden und abfangen, maßgeschneiderte Overlays für verschiedene Online-Banken öffnen und Zwei-Faktor-Authentisierungs-Codes stehlen kann“. Das betreffe auch den „Google Authenticator“. Außerdem könne diese Malware auf Kreditkartendaten zugreifen, Anrufe umleiten und dank RAT Funktionalitäten mobiler Geräte manipulieren. Zudem verschaffe sie sich automatisch die erforderlichen Berechtigungen als Teil seiner Authentifizierungsattribute.

Cerberus v2 frühzeitiges Warnsignal an alle, die sich mit Android-Sicherheit befassen

Die genannten Fähigkeiten dürften nur die Spitze des Eisbergs darstellen. Umso wichtiger sei es, „dass Anwender besondere Vorsichtsmaßnahmen zur Abwehr dieser Gefahren treffen“. Dmitry Galov, „Security Researcher“ bei kaspersky resümiert: „,Cerberus‘ ist tot, lang lebe ,Cerberus‘! Die Ergebnisse der kaspersky-Untersuchung von ,Cerberus v2‘ sind ein frühzeitiges Warnsignal an alle, die sich mit ,Android‘-Sicherheit und speziell mit der Sicherheit von Banking-Anwendungen befassen. Bereits seit der Veröffentlichung des Quellcodes sehen wir einen Anstieg der Attacken auf Anwender. Dieses Phänomen ist nicht neu, doch ein derartiger Boom an schädlichen Aktivitäten seit der Freigabe der Malware durch ihre Entwickler ist der größte, den wir seit langem beobachten konnten. Wir werden weiterhin alle Artefakte in Zusammenhang mit dem Code unter die Lupe nehmen und dazu in Kürze eine detaillierte Analyse veröffentlichen. Bis dahin können wir allen Anwendern nur dringend raten, weiterhin jene Sicherheitsmaßnahmen zu beachten, die ohnehin im Umgang mit mobilen Geräten und beim Online-Banking angebracht sind.“

kaspersky empfiehlt angesichts Cerberus v2, beim mobilen Online-Banking Folgendes zu beachten:

• Apps stets nur von offiziellen Quellen wie „Google Play für Android“ oder „App Store für iOS“ beziehen.
• Auf dem Smartphone die Funktion zur Installation von Programmen aus unbekannten Quellen deaktivieren.
• Geräte niemals „rooten“, das öffne Cyber-Kriminellen Tür und Tor für ihre Angriffe.
• Mögliche Sicherheitslücken immer sofort durch die Installation von Updates für das Betriebssystem und alle Anwendungen schließen und Updates für mobile Betriebssysteme niemals von externen Quellen herunterladen.
• Vor der Preisgabe von persönlichen Daten und solchen im Kontext von Finanzanwendungen eine gesunde Skepsis walten lassen und besonders umsichtig agieren.
• Verlässliche Sicherheitslösungen wie z.B. „Kaspersky Security Cloud“ einsetzen – diese schützten vor einem breiten Gefahrenspektrum.

Weitere Informationen zum Thema:

datensicherheit.de, 06.08.2020
Android-Smartphones: Über 400 Schwachstellen entdeckt / Extrem kritische Schwachstellen in Qualcomm DSPs entdeckt, die zu über 400 Sicherheitslücken in Android-Smartphones führen

datensicherheit.de, 11.07.2020
Malware Joker: Gefahr für Android-Geräte / Schädling fand erneut seinen Weg in den „Google Play Store“

datensicherheit.de, 28.04.2020
Lucy: Erstmals Ransomware-Attacken gegen Android-Smartphones / Eine neue Handy-Maleware-Kampagne attackiert Android-Geräte über soziale Netzwerke / Schadprogramm gibt sich als die US-Regierungsbehörde FBI aus und versucht Lösegeld zu erpressen

datensicherheit.de, 05.09.2019
Android-Smartphones: Sicherheitslücke lädt zu SMS-Phishing ein / Check Point Research hat Schwachstellen unter anderem in Mobilgeräten von Samsung, Huawei, LG und Sony entdeckt

datensicherheit.de, 30.07.2019
G DATA: Keine Entspannung bei Android-Malware / Aktueller „Mobile Malware Report“ veröffentlicht