17. September 2020

Android-Banking-Malware Cerberus jetzt in Untergrundforen frei verfügbar

Kaspersky warnt vor neuer Gefahr für mobile Nutzer. Neue Funktionalität ermöglicht Umgehung von Zwei-Faktor-Authentifizierung und Remotezugriff.

Der vollständige Quellcode der Cerberus-Malware wurde geleakt und ist jetzt für Cyberkriminelle in Untergrundforen frei verfügbar. Die Kaspersky-Experten beobachten das Comeback der Android-Banking-Malware seit Juli 2020. Zu diesem Zeitpunkt hatte der ursprüngliche Entwickler sein Projekt aufgegeben und das mobile Schadprogramm nach erfolglosen Verkaufsversuchen frei veröffentlicht. Eine neue Funktionalität der Malware erlaubt das Abgreifen von Daten, die im Zuge der Zwei-Faktor-Authentisierung (2FA) ausgetauscht werden. Zudem verfügt sie über Funktionen eines Remote Access Tools (RAT). Cerberus-Infektionen sind daher schon jetzt stark angestiegen, insbesondere in Russland und Europa.

Bei Cerberus handelt es sich um eine hochentwickelte Banking-Malware für das Betriebssystem Android. Sie wurde im Sommer 2019 entdeckt und wird jetzt aktiv als Malware-as-a-Service (MaaS) in verschiedenen Untergrundforen angeboten. Die Veröffentlichung des Quellcodes – im folgenden Cerberus v2 genannt – bietet Cyberkriminellen nun ganz offen neue Möglichkeiten, den Banking-Sektor über Android-Geräte anzugreifen.

Obwohl die Russisch-sprechenden Cerberus-Entwickler im April dieses Jahres [1] noch neue Pläne für ihr Projekt hegten, wurde der Quellcode Ende Juli nach dem Auseinanderbrechen des Entwicklerteams zur Versteigerung gebracht. Was schließlich zur Zuspitzung der Situation führte, bleibt unklar. Jedenfalls hat der Autor der Malware den Quellcode schließlich den Premium-Nutzern eines russischsprachigem Untergrundforums zugänglich gemacht.

Das Ergebnis war ein sofortiger Anstieg der Infektionen mobiler Anwendungen und Versuche, Geld von Verbrauchern in Russland und ganz Europa zu stehlen; immer mehr Cyberkriminelle erwerben die Malware jetzt kostenlos.

Neue Funktionalitäten entdeckt

Seit der erstmaligen Erfassung im Jahr 2019 wurde Cerberus‘ Funktionalität offenbar auf ein neues Niveau gehoben. Hier zeigt sich eine deutliche Parallele zu Anubis, einer weiteren Android-Banking-Malware, die Ende 2019 veröffentlich wurde, zum Schaden von Banken und ihren Kunden.

Die Kaspersky-Experten haben sich für ihre Untersuchung das Archiv mit dem geleakten Code von Cerberus v2 verschafft und bei einer umfassenden Analyse der Infrastruktur herausgefunden, dass die Malware jetzt auch heimlich SMS-Codes senden und abfangen, maßgeschneiderte Overlays für verschiedene Online-Banken öffnen und Zwei-Faktor-Authentisierungs-Codes stehlen kann. Das betrifft auch den Google Authenticator. Außerdem kann die Malware auf Kreditkartendaten zugreifen, Anrufe umleiten und dank RAT Funktionalitäten mobiler Geräte manipulieren. Zudem verschafft sie sich automatisch die erforderlichen Berechtigungen als Teil seiner Authentifizierungsattribute.

Die genannten Fähigkeiten dürften nur die Spitze des Eisbergs darstellen. Umso wichtiger ist es, dass Anwender besondere Vorsichtsmaßnahmen zur Abwehr dieser Gefahren treffen.

„Cerberus ist tot, lang lebe Cerberus! Die Ergebnisse der Kaspersky-Untersuchung von Cerberus v2 sind ein frühzeitiges Warnsignal an alle, die sich mit Android-Sicherheit und speziell mit der Sicherheit von Banking-Anwendungen befassen“, resümiert Dmitry Galov, Security Researcher bei Kaspersky. „Bereits seit der Veröffentlichung des Quellcodes sehen wir einen Anstieg der Attacken auf Anwender. Dieses Phänomen ist nicht neu, doch ein derartiger Boom an schädlichen Aktivitäten seit der Freigabe der Malware durch ihre Entwickler ist der größte, den wir seit langem beobachten konnten. Wir werden weiterhin alle Artefakte in Zusammenhang mit dem Code unter die Lupe nehmen und dazu in Kürze eine detaillierte Analyse veröffentlichen. Bis dahin können wir allen Anwendern nur dringend raten, weiterhin jene Sicherheitsmaßnahmen zu beachten, die ohnehin im Umgang mit mobilen Geräten und beim Online-Banking angebracht sind.“

Kaspersky empfiehlt, beim Online-Banking mit mobilen Geräten folgendes zu beachten:

  • Apps stets nur von offiziellen Quellen wie Google Play für Android oder App Store für iOS beziehen.
  • Auf dem Smartphone die Funktion zur Installation von Programmen aus unbekannten Quellen deaktivieren.
  • Geräte niemals „rooten“, das öffnet Cyberkriminellen Tür und Tor für ihre Angriffe.
  • Mögliche Sicherheitslücken immer sofort durch die Installation von Updates für das Betriebssystem und alle Anwendungen schließen, und Updates für mobile Betriebssysteme niemals von externen Quellen herunterladen.
  • Vor der Preisgabe von persönlichen Daten und solchen im Kontext von Finanzanwendungen eine gesunde Skepsis walten lassen und besonders umsichtig agieren.
  • Verlässliche Sicherheitslösungen wie Kaspersky Security Cloud [2] einsetzen! Sie schützen vor einem breiten Gefahrenspektrum.

[1] https://securelist.com/financial-cyberthreats-in-2019/96692/

[2] https://www.kaspersky.de/security-cloud

Nützliche Links:

Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter http://www.kaspersky.com/de/