Calculadora de Moneda-app op Google Play verbergde de kwaadaardige Cerberus-trojan

Cerberus Android Trojan

Google heeft nogal wat kritiek gekregen omdat ze te veel malware op Google Play liet staan, en je zou kunnen zeggen dat daar een heel goede reden voor is. In vergelijking met Apple heeft Google een veel liberaler beleid aangenomen als het gaat om het publiceren van apps in de Play Store en de frequentie waarmee malware door de kieren glipt, laat zien dat de controles niet streng genoeg zijn. Dat gezegd hebbende, soms zijn de hackers vooral vastbesloten hun kwaadaardige bedoelingen geheim te houden. Gisteren vertelden onderzoekers van Avast ons bijvoorbeeld over de slimme trucs die cybercriminelen hebben gebruikt om een recente aanval op Spaanse gebruikers te verbergen.

Hackers hebben een valuta-omzetter op Google Play gepubliceerd

De operatie begon al in maart toen de operators van de Cerberus-banktrojan een app publiceerden in de officiële winkel van Android. De applicatie heette "Calculadora de Moneda" (Spaans voor "Currency Calculator") en de hackers hadden absoluut geen problemen om de applicatie voorbij de beveiligingscontroles van Google te leiden.

Dat komt omdat er niets kwaadaardigs aan was. De eerste versie van Calculadora de Moneda was volledig goedaardig en functioneerde zelfs als een valuta-omzetter. Het doel was om het vertrouwen van gebruikers te winnen en te verdienen. Volgens Avast had de valuta-omzetter-app een paar dagen geleden ongeveer 10.000 downloads.

De tijdlijn is niet helemaal duidelijk, maar ergens tussen maart en juli begon de kwaadaardige fase van de operatie. De hackers hebben een update gepusht die een paar regels code bevatte die Cerberus later zou downloaden en installeren. Ze hadden echter geen haast om het te activeren. De code bleef inactief en werd pas een paar dagen geleden geactiveerd.

De oplichters hebben de Cerberus-banktrojan een paar dagen geleden ingezet

De kwaadaardige code nam contact op met de Command and Control-server (C&C) van de boeven en downloadde een APK-bestand dat, indien uitgevoerd, de Cerberus-banktrojan zou installeren.

Cerberus is een enorme bedreiging. Het bestaat misschien pas een jaar of zo, maar het heeft al naam gemaakt en verschillende aanvallen in de afgelopen maanden suggereren dat de operators een bijzondere interesse hebben in Spaanstalige gebruikers.

Het rapport van Avast zegt niet welke bankapplicatie het target, maar het legt wel uit dat het wachtwoorden steelt door een overlay te tekenen over de inlogformulieren van de apps en de ingevoerde inloggegevens te exfiltreren. De trojan heeft ook de mogelijkheid om sms-berichten te lezen en authenticatiecodes te stelen van apps zoals Google Authenticator, wat betekent dat het in staat is om tweefactorauthenticatie te omzeilen.

Het is moeilijk te zeggen hoeveel mensen zijn geraakt, maar zoals je kunt zien, werden ze allemaal ernstig in gevaar gebracht. Het is maar goed dat de aanval nu voorbij is.

De implementatie is gestopt... voorlopig

De Calculadora de Moneda-app begon op 6 juli met het downloaden van Cerberus, maar enkele uren later stopte de distributie. De C&C en de malware-payload werden inactief en de app voor valutaconversie bleef normaal functioneren.

Er kunnen een aantal redenen zijn waarom de boeven hebben besloten de campagne te verkorten. Ze hopen misschien dat de kleinere aanval hen zal helpen detectie te ontwijken. Als alternatief kunnen hun plannen zijn veranderd nadat de onderzoekers van Avast de campagne hadden onderschept. We moeten de grimmige mogelijkheid niet negeren dat dit een test is die ook voorafgaat aan een grotere aanval.

Hoe dan ook, gebruikers moeten zich bewust zijn van het risico en ze moeten weten wat ze moeten doen om zichzelf te beschermen. Gelukkig kan het ontwerp van Android in dit specifieke geval hen helpen.

APK-bestanden van externe bronnen kunnen gevaarlijk zijn

De onderzoekers van Avast hebben hun bevindingen aan Google doorgegeven en hoewel u op Google Play een app genaamd "Calculadora de Moneda" kunt vinden, moet de schadelijke toepassing nu worden verwijderd. Het moet echter worden gezegd dat de malware in dit specifieke geval niet daadwerkelijk in de Play Store is geüpload. Bij deze aanval fungeerde de valuta-omzetter als een dropper en downloadde de APK-payload van de hackers-C&C.

Afhankelijk van de versie geeft Android talloze waarschuwingen weer en wordt om toestemming gevraagd voordat een APK-bestand op het apparaat kan worden uitgevoerd. Bij oudere incarnaties van het mobiele besturingssysteem van Google kunt u geen APK-bestand installeren, tenzij u enkele van de standaardinstellingen wijzigt.

Dit komt omdat, hoewel malware af en toe in de Play Store verschijnt, Android-bedreigingen voor het grootste deel worden verspreid via APK-bestanden die worden gehost op websites van derden. De ontwikkelaars van Android weten hoe groot het risico is om dergelijke bestanden uit te voeren en proberen u hiervoor te waarschuwen. Het enige wat je hoeft te doen is luisteren.

Tegen Duran
July 8, 2020
Trojan
Nederlands
July 8, 2020
Trojan

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.