Gli esperti di sicurezza di Kaspersky hanno individuato su alcuni forum underground il codice sorgente di Cerberus, il mobile banking trojan per Android che, oltre a consentire di bypassare il sistema di autenticazione a due fattori (2FA), ora offre anche funzionalità RAT (Remote Access Tool).
Indice degli argomenti
Cerberus: nuovi dettagli dall’analisi del codice sorgente
Cerberus, lo ricordiamo, è stato rilevato inizialmente nell’estate del 2019 e distribuito attivamente in modalità Malware-as-a-Service (MaaS) in vari forum underground. La recente diffusione del codice sorgente, noto come Cerberus v2, ha offerto ai criminal hacker una nuova potente cyber arma per colpire il settore bancario attraverso i dispositivi Android.
A quanto hanno scoperto i ricercatori Kaspersky, l’intenzione degli sviluppatori di lingua russa di Cerberus era quella di rilanciare il progetto nell’aprile di quest’anno. Invece, in seguito allo scioglimento del team che ha sviluppato il malware, sono subito iniziate alcune aste per aggiudicarsi il codice sorgente.
Per cause al momento sconosciute, gli autori del malware hanno quindi deciso di pubblicare il codice sorgente del progetto per gli utenti premium di un popolare forum underground di lingua russa. Un’opportunità che i criminal hacker di tutto il mondo non si sono fatti scappare, con la conseguenza che le infezioni delle applicazioni mobile e i tentativi di sottrarre denaro agli utenti in Russia e in tutta Europa sono improvvisamente aumentate.
Dall’analisi del codice sorgente di Cerberus v2 sono quindi trapelate alcune novità sull’infrastruttura del malware. In particolare, è stata evidenziata la capacità del malware di inviare e sottrarre codici SMS, di creare overlay personalizzati per diverse banche online e di rubare codici 2FA anche da Google Authenticator.
Ulteriori funzionalità aggiuntive permettono a Cerberus v2 di accedere ai dettagli della carta di credito e ai contatti dell’utente, di reindirizzare le chiamate o di interferire con la funzionalità mobile attraverso la funzionalità RAT, concedendo automaticamente le autorizzazioni richieste come parte dei propri privilegi di autenticazione.
Come difendersi dal banking trojan
“Cerberus è ancora operativo. Le scoperte di Kaspersky su Cerberus v2 sono un monito per coloro che lavorano per garantire la sicurezza di Android, in particolare nel settore bancario. Da quando è stato pubblicato il codice sorgente, abbiamo già rilevato un aumento degli attacchi rivolti agli utenti. Non è la prima volta che rileviamo una cosa simile, ma l’incremento dell’attività cominciato quando gli sviluppatori hanno abbandonato il progetto è lo sviluppo più notevole osservato nell’ultimo periodo. Continueremo ad analizzare tutti gli artefatti associati al codice e tracceremo le attività correlate, ma nel frattempo la miglior arma di difesa per gli utenti è quella di adottare di comportamenti corretti nell’utilizzo dei loro dispositivi mobili e dei servizi bancari”, ha dichiarato Dmitry Galov, Security Researcher di Kaspersky.
Gli stessi ricercatori Kaspersky raccomandano quindi agli utenti di:
- scaricare e installare applicazioni solo da app store ufficiali come Google Play per i dispositivi Android o nell’App Store per iOS;
- disattivare l’installazione di programmi da fonti sconosciute nelle impostazioni dello smartphone;
- non eseguire mai il “root” dei dispositivi poiché offre ai criminali informatici numerose possibilità di attacco;
- installare tempestivamente gli aggiornamenti del sistema e delle applicazioni per correggere le vulnerabilità di sicurezza. Non scaricare gli aggiornamenti del sistema operativo mobile da risorse esterne;
- proteggere i dati finanziari e le informazioni personali utilizzando una soluzione di sicurezza affidabile.
