Descripción
Un análisis realizado por una firma de ciberseguridad ha identificado nueva información relacionada con el programa malicioso llamado “Cerberus”, el cual se ha vendido bajo la modalidad “Malware-as-a-Service” (MaaS) por medio de foros clandestinos de la “Deep Web”.
Cerberus ha estado activo desde junio de 2019 y tiene como objetivo robar información bancaria de los dispositivos, afectando a sistemas Android. Durante el año pasado, Cerberus centró su actividad a entidades bancarias de España, Latinoamérica, Francia y Japón.
De acuerdo con las investigaciones, se cree que Cerberus se distribuye por medio de páginas Web fraudulentas utilizando el logo de “Flash Player” para engañar al usuario y persuadirlo a descargar el programa en su dispositivo. Una vez en el equipo, Cerberus solicita al usuario permisos de “accesibilidad”, esto para poder recibir información de otras aplicaciones y evitar ser desinstalado por el usuario. Posteriormente el programa realiza la conexión a un servidor Comando y Control (C&C) y comienza a recopilar información como credenciales de correo electrónico, cuentas de entidades financieras, listado de aplicaciones instaladas, información de mensajes SMS; además, permite al atacante abrir enlaces en el dispositivo, sobreponer ventanas y evitar la instalación de otras aplicaciones.
No obstante, a pesar de ser un programa muy popular entre los ciberdelincuentes, su desarrollador ha decidido dejar el proyecto y poner a la venta el código fuente y toda la infraestructura relacionada con Cerberus.
Recientemente el proyecto completo fue publicado por su autor en páginas clandestinas de la Deep Web. Esta acción puede generar un incremento de ataques dirigidos a entidades financieras y a usuarios.
Nivel de riesgo
- [Alto]
Sistemas/tecnologías afectadas:
- Sistemas Operativos Android.
Indicadores de compromiso (IoCs)
A continuación, se listan los Indicadores de compromiso (IoCs) identificados hasta el momento relacionados con el programa malicioso reportado en esta alerta:
- MD5
- 7701709ee910a194abbeaecbae1f75
46 - 61272b695a6fc8b6bc31c217e0cd67
66 - dc74daf70afc181471f41fd910a0de
c0 - 1512c3fa688ca107784b3c93cd9f35
26 - 76e7b9e784a83a79538fc51d13e876
b8
- 7701709ee910a194abbeaecbae1f75
- SHA-256
- 3dee025506b358e3d9433a4b2fddec
353ff58f2f39b9f06f894baf3f7d8a 2a89 - 7d66a2297ac76c1ee2acef6757af14
40b2e08f36981c47bf7a457ca249ae f4bf - 6ac7e7ed83b4b57cc4d28f14308d69
d062d29a544bbde0856d5697b0fc50 cde4 - ffa5ac3460998e7b9856fc136ebcd1
12196c3abf24816ccab1fbae11eae4 954c - a1948b1436cc737c1497c46002defb
ac723886105d967eb54f9da0ddc3c2 f9cd
- 3dee025506b358e3d9433a4b2fddec
Medidas de Contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
- Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
- Realizar la descarga de programas solo desde fuentes oficiales.
- No habilitar permisos de accesibilidad en dispositivos móviles a aplicaciones que el usuario no determine necesarias.
- Centralizar la administración de dispositivos con acceso a la red corporativa.
- Implementar soluciones antimalware en los dispositivos móviles.
- Concientizar a usuarios finales respecto a este tipo de campañas.
Referencias
- https://www.csirtasobancaria.
com/alertas-de-seguridad/ cerberus-nuevo-troyano- bancario-para-dispositivos- moviles - https://threatpost.com/
cerberus-banking-trojan- unleashed-google-play/157218/ - https://unaaldia.hispasec.com/
2019/09/cerberus-llega-a- espana-y-latinoamerica.html - http://securitysummitperu.com/
articulos/nuevo-troyano- bancario-para-android-llamado- cerberus/