ErrorFather kampány
A Cyble Research and Intelligence Labs (CRIL) azonosított egy „ErrorFather” nevű kampányt, amely egy fel nem fedezett Cerberus Android Banking Trojan hasznos terhelését használta. Az ErrorFather egy kifinomult fertőzési láncot alkalmaz, amely több lépcsőt foglal magában (munkamenet-alapú dropperek, natív könyvtárak és titkosított hasznos terhelések), megnehezítve a felderítést és eltávolítást. A kampány aktivitása 2024 szeptemberében és októberében megnövekedett, több minta és folyamatban lévő kampányok arra utalnak, hogy az ErrorFather kampány mögött álló kiberszereplő aktívan célozza és skálázza a kampányt.
A végső hasznos teher keyloggingot, overlay-támadásokat, VNC-t és Domain Generation Algorithm (DGA) alkalmaz a rosszindulatú tevékenységek végrehajtásához.
Az ErrorFather a Domain Generation Algorithm-el (DGA) biztosítja az ellenállóképességet azáltal, hogy lehetővé teszi a dinamikus C&C szerverfrissítéseket, így a kártevő akkor is működőképes marad, ha az elsődleges szerverek leállnak.
A kampány rávilágít arra, hogy a kiszivárgásokból újrahasznosított rosszindulatú szoftverek évekkel az eredeti megjelenésük után is jelentős fenyegetést jelenthetnek.
A Cerberus Android Banking Trojan eredetileg 2019-ben bukkant fel, és underground fórumokon volt bérelhető. Hírnevet szerzett azzal, hogy a pénzügyi és közösségi média-alkalmazásokat célozza meg a hozzáférési szolgáltatás kihasználásával, overlay-támadásokkal, valamint VNC- és keylogging-funkciók beépítésével. Széleskörű elterjedtsége miatt az egyik legismertebb banki trójai volt abban az időben.
2020-ban, a Cerberus forráskódjának kiszivárgását követően megjelent egy új, „Alien” nevű változat, amely a Cerberus kódbázisát használta ki. Ezután 2021-ben egy másik banki trójai jelent meg „ERMAC” néven, amely szintén a Cerberus kódjára épült, és több mint 450 pénzügyi és közösségi média alkalmazást célzott meg.
2024 elején egy új fenyegetést fedeztek fel, amelyet Phoenix Android Banking Trojan néven ismertek, amit a Cerberus egy újabb elágazásaként azonosították, pontosan annak forráskódját használva, míg az Alien és az ERMAC néhány módosítást vezetett be.
A Cyble Research and Intelligence Labs (CRIL) a közelmúltban több olyan rosszindulatú mintát fedezett fel, amelyek Chrome és Play Store alkalmazásoknak adták ki magukat. Ezek a minták egy többlépcsős droppert használnak egy banki trójai hasznos terhelés telepítésére, amelyről kiderült, hogy a Cerberus Banking Trojan-t használja.