משתמשי אנדרואיד? אתם.ן בסכנה

קוד המקור המלא של הנוזקה הבנקאית Cerberus פורסם באינטרנט לאחר שהודלף על ידי אחד ממפתחיו, כך מצאו חוקרי קספרסקי. חוקרי ענקית האבטחה הרוסית עוקבים אחר Cerberus מאז יולי 2020, למרות שמעקב אחר הנגיף הטרויאני החל כבר בקיץ 2019.

בסוף פברואר 2020, חוקרי ThreatFabric פרסמו דו"ח, שלפיו Cerberus הותאמה מחדש וכעת יש לה יכולות RAT (טרויאני בעל גישה מרחוק) וכי היא מסוגלת לגנוב טוקנים ("אסימונים") של אימות רב-שלבי (2FA) מ-Google Authenticator. באותה עת Cerberus עדיין היה בשלב הבדיקה, אולם ThreatFabric הזהירה את המשתמשים, כי הנוזקה עלולה להשתחרר בקרוב. תחזיותיהם של החוקרים התגלו כנכונות בסוף יולי, כאשר קוד המקור של Cerberus פורסם פומבית לאחר שצוות הפיתוח שלו נפרד ממנו. חוקרי קספרסקי גילו, כי אחד הכותבים של הנוזקה קיבל את ההחלטה לפרסם את קוד המקור של הפרויקט בפורום מחתרתי פופולרי של דובר רוסית, כאשר ככל הנראה הוא התכוון שהגישה לנוזקה תהיה רק עבור משתמשי פרימיום. עם זאת, פושעי סייבר מסוגלים כעת לרכוש את Cerberus בחינם, וכתוצאה מכך חל גידול מהיר במתקפות סייבר על בנקאות סלולרית ברוסיה, כמו גם במדינות אירופיות אחרות.

דמיטרי גלוב, חוקר אבטחה בקספרסקי, אמר, כי "הממצאים בנוגע לגירסה 2 של Cerberus הם אזהרה לכל מי שעלול להיות מושפע מהאבטחה של מערכת ההפעלה אנדרואיד, ומי שמשתמש ביישומי אבטחה לטובת עולם הבנקאות באנדרואיד בפרט".

לדבריו, "אנו רואים כבר עלייה במתקפות על משתמשים מאז פרסום קוד המקור. זו לא הפעם הראשונה שאנחנו רואים שדבר כזה קורה, אבל חלה תנופה בפעילות הזו מאז שהיזמים נטשו את הפרויקט".

קספרסקי מזהירה את משתמשי אנדרואיד להוריד ולהתקין יישומים רק מחנות Play של גוגל (Google), וכן לבטל את הפונקציה בהגדרות הטלפון החכם להתקנת תוכנות ממקורות לא ידועים.  ביולי השנה צוות חוקרים מחברת אוואסט (Avast) זיהה, כי הסוס הטרויאני Cerberus נמצא בחנות האפליקציות של גוגל. הנוזקה התחזתה לאפליקציה בשם "Calculadora de Moneda", אפליקציה ספרדית להמרת מטבעות, המתמקדת במשתמשי אנדרואיד בספרד. כמו בשאר הנוזקות מסוג זה, גם נוזקת Cerberus נשארה ״רדומה״ במהלך כמה שבועות, ובזמן זה היא הורדה על ידי כ-10,000 משתמשים. כעבור שבועות ספורים, האפליקציה מורידה למכשיר אפליקציה נוספת, המכילה קוד זדוני.