Zlonamerni softver Alien naglo postaje popularan izbor sajber kriminalaca za vršenje bankarskih prevara. Evo zašto. Korisnike računara više od decenije muče zlonamerni programi dizajnirani da im ukradu akreditive za mrežno bankarstvo i pokrenu lažne transakcije sa njihovih računa. Kako se tokom godina sve više usvajalo mobilno bankarstvo, ovi programi sledili su trend i sa računara prešli na pametne telefone. Jedan od najčešće korišćenih Android bankarskih trojanaca su njegovi tvorci prošlog meseca napustili, ali prazninu u ekosistemu kibernetičkog kriminala naglo popunjava jedan još moćniji, pod nazivom Alien. „Ne samo da dolazi do povećanja broja novih Android bankarskih trojanaca, već mnogi od njih takođe donose i inovativne funkcije“, rekli su u nedavnom izveštaju istraživači iz kompanije za obaveštavanje o sajber kriminalu ThreatFabric. „Sve više i više trojanaca – poput i samog trojanca Alien – sadrži funkcije koje omogućavaju kriminalcima da preuzmu daljinsko upravljanje zaraženim uređajem (RAT) kako bi izvršili prevaru sa žrtvinog uređaja. Takođe primećujemo interesovanje aktera da snimaju i kradu više informacija u žrtvinom okruženju. Načini korišćenja ili unovčavanja tih informacije mogu se razlikovati; samo je pitanje vremena kada će akteri saznati za vrednost takvih informacija. “
Smrt Cerberusa
Od 2014. godine, nekoliko Android bankarskih trojanaca dominiralo je oblašću mobilnih uređaja u različitom trajanju. Počelo je sa GM Bot-om, a nastavilo se sa Marcherom, Exobot-om, Red Alert-om, Anubisom i na kraju Cerberus-om, koji se pojavio 2019. godine i ubrzo postao dominantan. Većina ovih trojanaca koristila je model zlonamernog softvera kao usluge, gde su njihovi tvorci drugim sajber kriminalcima prodavali i iznajmljivali pristup svojim trojancima i infrastrukturi.
Cerberus je bio uspešan i imao je dugačku listu funkcija, uključujući mogućnost prikazivanja varljivih ekrana preko drugih aplikacija (dinamički prekrivači), krađu lozinki, prikupljanje i slanje SMS-ova, prosleđivanje poziva, krađu liste kontakata, prikupljanje podataka o uređaju i aplikaciji, instaliranje i uklanjanje aplikacija, i zaključavanje ekrana. Ovaj trojanski program dizajniran je da cilja sedam francuskih bankarskih aplikacija, sedam američkih bankarskih aplikacija, jednu japansku bankarsku aplikaciju i 15 nebankarskih aplikacija.
Glavni adut za prodaju takvih trojanaca je sposobnost njegovih stvaralaca da pronađu nove načine da se izbegne Play Protect, Google-ova usluga otkrivanja zlonamernog softvera koja je ugrađena u Android uređaje na kojima je instaliran Google Play store. Autori Cerberusa nisu obavili dovoljno dobar posao, pa je pre nekoliko meseci Play Protect ažuriran mogućnošću otkrivanja i uklanjanja svih uzoraka Cerberusa sa Android uređaja. Zbog toga su mnogi sajber kriminalci koji su platili i koristili Cerberus bili nezadovoljni. Prema ThreatFabric-u, zbog negativnih pojava u tehničkom timu, autor Cerberusa nije bio u stanju da reši mnoge probleme koje su sa ovim zlonamernim softverom imali njegovi kupci, pa je pokušao da proda ceo projekat. Ovo nije uspelo, pa je u avgustu podelio izvorni kôd sa administratorom foruma za sajber kriminal i izvorni kôd je ubrzo nakon toga procurio u javnost. To je značilo smrt Cerberusovog poslovanja i rada i od tada je njegov razvoj napušten.
Uspon Aliena
Pošto je Cerberus nestao, istraživači iz ThreatFabric-a primetili su kako više njegovih bivših kupaca migrira na drugi Android bankarski trojanski program pod nazivom Alien, koji ima čak više funkcija od Cerberusa. Alien postoji od januara, ali u početku je uspevao da se provlači ispod radara, jer se zapravo zasniva na Cerberusovoj kodnoj bazi i lako može da izgleda kao njegova varijanta. U stvari, autori Cerberusa su u to vreme na forumima o sajber kriminalu najavljivali da je u razvoju nova velika verzija Trojanca. Zapravo, razlika između Cerberusa i Alien-a, čije ime u početku još nije bilo jasno, bila je u tome što je Alien imao modul za daljinsko upravljanje koji je zloupotrebio komponentu TeamViewer unapred instaliranu na nekim Android telefonima. To je sajber kriminalcima dalo mogućnost da izvrše lažne transakcije direktno sa uređaja svojih žrtava.
U nedeljama koje su usledile postalo je jasno da Alienom i Cerberusom ne upravlja ista grupa ljudi, jer su se oglašavali odvojeno i čak su se u nekom trenutku sukobili sa Cerberusovim timom na forumima. Programeri Aliena počeli su da dodaju još više funkcija, poput modula za krađu kodova za potvrdu identiteta u dva koraka (2FA) iz aplikacije Google Authenticator, funkcije koju je Cerberus-ov tim takođe dodao u maju kada su objavili svoju verziju 2, koja nije dodala nijednu drugu glavnu karakteristiku. Uobičajeno je da se nusproizvodi razviju na osnovu nekog popularnog zlonamernog programa nakon što se njegov izvorni kôd objavi ili procuri. Međutim, Cerberusov izvorni kôd procurio je u avgustu, a Alien postoji od januara, što postavlja pitanje: Kako su programeri Alien-a toliko ranije dobili pristup izvornom kodu?
Istraživači ThreatFabric-a pretpostavljaju da su neki programeri iz Cerberusa napustili projekat, ponevši sa sobom izvorni kôd, kao i neobjavljeni modul za krađu 2FA koda, i započeli konkurentsku firmu koja je postala Alien. „Na osnovu našeg detaljnog znanja o tom trojancu (dostupnom na našem portalu Mobile Threat Intelligence), možemo dokazati da je softver Alien jedna račva početne varijante Cerberusa (v1), aktivna od početka januara 2020. godine i iznajmljivana u isto vreme kada i Cerberus “, kažu istraživači. „ Čini se da ukidanjem Cerberusa njegovi kupci prelaze na Alien, koji je postao istaknuti novi MaaS za prevarante.“
Kako radi softver Alien
Alien, kao i mnogi drugi bankarski trojanci za Android, prodaje se kao usluga. Sajber kriminalci koji ga plaćaju dobijaju pristup graditelju koji mogu da koriste za generisanje prilagođenog APK-a (Android aplikacionog paketa) pomoću svojih podešavanja. Tada mogu da izaberu kako da distribuiraju taj APK potencijalnim žrtvama, obično putem SMS-a i neželjene e-pošte. U stvari, neki od ranih uzoraka Aliena, koje su istraživači pronašli i analizirali, imali su ime Coronavirus, što sugeriše da su napadači koristili pandemiju COVID-19 da bi se širili. Ponekad i sajber kriminalci uspevaju da zaobiđu odbranu Google Play-a i otpreme takav zlonamerni softver u službenu prodavnicu aplikacija maskirajući se kao legitimne aplikacije, tako da poruka korisnicima da jednostavno ne instaliraju aplikacije iz nepoznatih izvora ne garantuje zaštitu.
Tokom instalacije, trojanski program traži privilegije pristupanja. Ovo je posebna funkcija u Androidu namenjena aplikacijama za pristupanje i veoma je moćna jer uključujei mogućnost čitanja ekrana drugih aplikacija, upravljanje korisničkim interfejsom tako da simulira dodire i još mnogo toga. Alien koristi ove privilegije za instaliranje TeamViewera, popularne aplikacije za daljinsko upravljanje koju podrazumevano podržavaju mnogi proizvođači Android telefona i mnogi modeli uređaja. Zatim konfiguriše TeamViewer sa čvrsto kodiranim akreditivima koje napadači mogu koristiti za povezivanje sa uređajem i pristup bankarskim aplikacijama za obavljanje prevarantskih transakcija.
Još jedna karakteristika koja izdvaja Alien je sposobnost nadgledanja sistemskih obaveštenja iz drugih aplikacija i slanje njihovog sadržaja na server za komandu i kontrolu. Ovo zahteva Android dozvolu koja se smatra rizičnom, pa je korisnici moraju ručno odobriti ulazeći u podešavanja aplikacije. Alien to zaobilazi koristeći svoje privilegije pristupanja i izvodi korake korisničkog interfejsa potrebne za dodelu ove dozvole. Ovaj trojanac takođe uključuje sve druge funkcije koje ima Cerberus, uključujući prekrivanje, krađu lozinki, spisak i slanje SMS-a, prikupljanje liste kontakata, krađu 2FA koda, prosleđivanje poziva i prikupljanje lokacija. Alien cilja više bankarskih i nebankarskih aplikacija nego Cerberus, uključujući Gmail, Facebook, Twitter, Snapchat, Telegram i druge IM aplikacije. Ciljane bankarske aplikacije su iz Španije, Turske, Nemačke, Sjedinjenih Država, Italije, Francuske, Poljske, Australije i Velike Britanije. ThreatFabric u svom izveštaju navodi spisak ciljanih aplikacija, ali sajber kriminalci koji koriste Alien mogu sami da definišu svoje ciljeve, pa spisak verovatno nije potpun.
„Iako je teško predvideti sledeće korake autora Aliena, bilo bi logično da poboljšaju RAT, koji se trenutno zasniva na TeamViewer-u (i stoga je vidljiv kada se instalira i izvrši na uređaju)“, kažu istraživači. „Takođe bi mogli da izgrade ATS (Automated Transaction Script) funkciju za automatizaciju procesa prevare. Ono što se može smatrati pouzdanim jeste da će broj novih bankarskih trojanaca samo nastaviti da raste, a mnogi će ugrađivati nove i poboljšane funkcije kako bi povećali stopu uspeha svojih prevara “. „U poslednjem kvartalu 2020. verovatno će se pojaviti neke dodatne promene u spektru pretnji, posebno otkako je izvorni kôd trojanca Cerberus javno dostupan“, kažu istraživači. „U narednim mesecima možemo sigurno očekivati da će se pojaviti neke nove porodice zlonamernog softvera zasnovanog na Cerberusu.“
Izvor: CSO