Cerberus：一个新的安卓“出租银行恶意软件”出现了

被称为“地狱犬“新的remote access特洛伊木马允许远程攻击者完全控制受感染的Android设备，还具有银行特洛伊木马功能，如使用叠加攻击、短信控制和联系人列表获取。

该恶意软件的作者在Twitter上出人意料地社交，公开嘲弄安全研究人员和防病毒行业。据他说，Cerberus是从头开始编写的，不会重复使用其他现有银行特洛伊木马的任何代码。
作者还声称，在过去两个月内，该特洛伊木马被出租给任何感兴趣的人之前，至少有两年的时间用于私人操作，1个月的使用费为2000美元，6个月的使用费为7000美元，12个月的使用费最高为12000美元。

Cerberus Banking特洛伊木马：功能

• 截图
• 录音
• 记录钥匙记录
• 发送、接收和删除SMSE，
• 窃取联系人名单
• 转接电话
• 收集设备信息
• 跟踪设备位置
• 窃取账户凭证，
• 禁用游戏保护
• 下载其他应用程序和有效载荷
• 正在从受感染的设备上删除应用程序
• 推送通知
• 锁定设备的屏幕

一旦感染，Cerberus首先会将其图标隐藏在应用程序抽屉中，然后通过伪装成Flash Player服务来请求访问权限。如果允许，恶意软件会自动将受损设备注册到其命令和控制服务器，从而允许买家/攻击者远程控制设备。

为了窃取用户的信用卡号、银行凭证和其他在线账户的密码，Cerberus允许攻击者从其远程仪表板发起屏幕覆盖攻击。
在screen overlay攻击中，该特洛伊木马会在合法的手机银行应用程序上显示一个覆盖，并诱使Android用户将其银行凭证输入假登录屏幕，就像钓鱼攻击一样。

研究人员说：“机器人滥用可访问性服务特权，获取前台应用程序的包名，并确定是否显示钓鱼覆盖窗口”。

据研究人员称，Cerberus已经包含了总共30个独特目标的叠加攻击模板，包括：

• 7款法国银行应用
• 7款美国银行应用
• 1日本银行应用
• 15款非银行应用

Cerberus使用基于动作的回避策略

Cerberus还使用一些有趣的技术来逃避防病毒解决方案的检测并阻止其分析，比如使用设备加速计传感器来测量受害者的移动。
这个想法很简单；当用户移动时，他们的Android设备通常会生成一些运动传感器数据。恶意软件通过设备运动传感器监控用户的步态，以检查它是否在真正的Android设备上运行。

研究人员解释说：“特洛伊木马使用此计数器激活机器人；如果上述步进计数器达到预先配置的阈值，它认为在设备上运行是安全的”。

“这个简单的措施可以防止特洛伊木马在动态分析环境（沙盒）和恶意软件分析师的测试设备上运行和分析”。

如果用户的设备缺少传感器数据，恶意软件会假定扫描恶意软件的沙箱是没有运动传感器的模拟器，不会运行恶意代码。

然而，这项技术也不是唯一的，之前已经被流行的安卓银行特洛伊木马“Anubis”实现。

需要注意的是，Cerberus恶意软件首先不会利用任何漏洞自动安装到目标设备上。相反，恶意软件的安装依赖于社会工程策略。

因此，为了防止自己成为此类恶意软件威胁的受害者，建议您在手机上下载内容时要小心，并在侧向加载内容之前一定要三思而后行。