Malware golf met varianten van Remote Access Trojan (RAT) verwacht

Gepubliceerd op 24 september 2020 om 11:30
Malware golf met varianten van Remote Access Trojan (RAT) verwacht

De volledige 'Cerberus-broncode' is gelekt op het darkweb en nu gratis beschikbaar voor cybercriminelen. Cerberus is een geavanceerde malware, gericht op online bankieren van Android.

Bedoeling was veilen

De bedoeling was dat de broncode van Cerberus online geveild zou worden. Door ‘een opeenstapeling van factoren’ besloot de maker om zijn programma gratis en voor niets aan te bieden op een Russisch platform dat voornamelijk bezocht wordt door hackers. Sindsdien zien beveiligingsspecialisten een toename in het aantal malafide applicaties voor smartphones.

RAT malware

Cerberus is een zogeheten Remote Access Trojan (RAT) die ontwikkeld is voor Android-telefoons. Een Trojaans paard is een vorm van malware waarmee hackers toegang krijgen tot je apparaat via een achterdeur. Remote Access betekent dat criminelen op afstand je smartphone, computer of ander toestel kunnen binnendringen, met alle gevolgen van dien.

Tweestapsverificatie omzeilen

Cerberus is ontworpen om stiekem persoonlijke en gevoelige informatie van gebruikers te verzamelen, berichten te onderscheppen, te knoeien met functionaliteiten van smartphones. De malware werd voornamelijk ingezet om bankrekeningnummers en identiteitsgegevens of authenticatiedata te verzamelen. Wat Cerberus zo gevaarlijk maakt is dat hij in staat is om tweefactorauthenticatie (2FA) te omzeilen en zogeheten gegenereerde One-Time Passcodes (OTP) te stelen.

Malware in Google Play Store

In juli sloeg Cerberus keihard toe in de Google Play Store. Beveiligingsonderzoekers van Avast ontdekten in de Play Store een valuta-omzetter applicatie. Deze was goedgekeurd door Google en er was geen vuiltje aan de lucht. Totdat de makers een 'update' uitrolden die aangekleed was met Cerberus. Een groot aantal gebruikers had toen ineens malware op zijn smartphone staan.

Cerberus aangeboden als dienst

Cerberus werd aanvankelijk aangeboden als een dienst onder de noemer Malware-as-a-Service (MaaS). Hackers betaalden een bedrag variërend van 4.000 tot 12.000 dollar om gebruik te mogen maken van de ‘dienst’.

Ruzie tussen malware ontwikkelaars

Kaspersky beveiligingsspecialist Galov zegt dat er in april onenigheid ontstond in het ontwikkelaarsteam van Cerberus. Medewerkers hadden volgens hem een meningsverschil over de toekomst van de malware. Om een einde te maken aan deze onenigheid, sprak het team af om de APK-broncode samen met de client list, servers en toegangscodes voor de panels voor beheerders te veilen. Het doel was om hiermee 100.000 dollar op te halen. De veilingmeester zei dat Cerberus iedere maand gemiddeld 10.000 dollar aan inkomsten genereerde.

Maar door een “onduidelijke opeenstapeling van factoren” besloot de maker om de broncode niet langer te veilen, maar gratis online te publiceren op een Russisch underground forum, zo vertelt Galov. Hij zegt dat het vrijgeven van de broncode direct gevolgen had. Zo heeft Kaspersky geconstateerd dat er onmiddellijk nieuwe besmettingen werden gemeld in Europa en Rusland.

Malware golf verwacht

De ontwikkelaar die Cerberus heeft bedacht hoeft zich nu niet langer zorgen te maken. Volgens Galov beginnen de zorgen voor ons nu pas echt. Volgens de beveiligingsexpert kunnen we in de nabije toekomst een toename verwachten van applicaties die zijn uitgerust met Cerberus. Niet alleen dat het ligt ook voor de hand dat we allerlei varianten van deze malware kunnen verwachten, met uiteenlopende toepassingen.

“We zullen alle applicaties die geassocieerd worden met de Cerberus-code en relateerde activiteiten blijven onderzoeken”, zo belooft Galov. “Maar in de tussentijd is het toepassen van de best practices op het gebied van cybersecurity voor je mobiele apparaten en beveiliging van je bankzaken de beste manier om je te verdedigen.”

Bron: zdnet.com, kasperskyclub.com, vpngids.nl