Лаборатория Cyble Research and Intelligence Labs (CRIL) обнаружила новую кампанию под названием "ErrorFather", в которой использовалась незамеченная полезная нагрузка троянца Cerberus Android. Эта кампания использует сложную цепочку заражения, состоящую из нескольких этапов, таких как сеансовые дропперы, нативные библиотеки и зашифрованная полезная нагрузка. Такая структура затрудняет обнаружение и удаление троянца.
ErrorFather Campaign
Активность кампании "ErrorFather" значительно возросла в сентябре и октябре 2024 года, что указывает на активное нацеливание и масштабирование злоумышленниками. В конечной полезной нагрузке троянца Cerberus используются такие вредоносные действия, как кейлоггинг, оверлейные атаки, VNC и алгоритм генерации доменов (DGA). Алгоритм DGA обеспечивает устойчивость к внешним воздействиям, позволяя трояну работать даже в случае выхода из строя основных серверов.
Троян Cerberus появился в 2019 году и был известен своей способностью атаковать финансовые приложения и приложения социальных сетей на устройствах Android. В 2020 году после утечки исходного кода Cerberus появились две новые разновидности - "Alien" и "ERMAC". В начале 2024 года появился еще один подобный троян под названием "Phoenix", который оказался форком Cerberus.
В ходе исследования CRIL было обнаружено несколько образцов вредоносных приложений, которые выдают себя за приложения для Chrome и Google Play Store и используют многоступенчатый дроппер для развертывания полезной нагрузки Cerberus. В кампании ErrorFather было обнаружено около 15 образцов, включая сеансовые дропперы и связанные с ними полезные нагрузки. Количество образцов значительно увеличилось в октябре 2024 года, что свидетельствует о продолжающихся кампаниях.
Технический анализ вредоносной программы Cerberus, используемой в кампании ErrorFather, показал, что первичный дроппер является приложением, которое загружает и устанавливает файл final-signed.apk, связывается с Telegram Bot URL и отправляет информацию о модели устройства. Дроппер второго этапа содержит нативный файл libmcfae.so, который расшифровывает и выполняет конечную полезную нагрузку. Конечная полезная нагрузка включает в себя функции кейлоггинга, оверлейных атак, VNC и DGA для создания C&C-сервера.
Indicators of Compromise
URLs
- http://cmscrocospain.shop
- http://cmsspain.homes
- http://cmsspain.lol
- http://cmsspain.shop
- http://consulting-service-andro.ru
- http://elstersecure-plus[.online
- https://api.telegram.org/bot7779906180:AAE3uTyuoDX0YpV1DBJyz5zgwvvVg-up4xo/sendMessage?chat_id=5915822121&text=
- https://secure-plus.online/ElsterSecure.apk
MD5
- 0544cc3bcd124e6e3f5200416d073b77
- d9763c68ebbfaeef4334cfefc54b322f
- f9d5b402acee67675f87d33d7d52b364
SHA1
- 9373860987c13cff160251366d2c6eb5cbb3867e
- c7ebf2adfd6482e1eb2c3b05f79cdff5c733c47b
- cb6f9bcd4b491858583ee9f10b72c0582bf94ab1
SHA256
- 0c27ec44ad5333b4440fbe235428ee58f623a878baefe08f2dcdad62ad5ffce7
- 136d00629e8cd59a6be639b0eaef925fd8cd68cbcbdb71a3a407836c560b8579
- 4c7f90d103b54ba78b85f92d967ef4cdcc0102d3756e1400383e774d2f27bb2e
- 516282073b7d81c630d4c5955d396e1e47a2f476f03dea7308461fa62f465c11
- 5bd21d0007d34f67faeb71081309e25903f15f237c1f7b094634584ca9dd873e
- 6b8911dfdf1961de9dd2c3f9b141a6c5b1029311c66e9ded9bca4d21635c0c49
- 6c045a521d4d19bd52165ea992e91d338473a70962bcfded9213e592cea27359
- 880c9f65c5e2007bfed3a2179e64e36854266023a00e1a7066cbcf8ee6c93cbc
- 8f3e3a2a63110674ea63fb6abe4a1889fc516dd6851e8c47298c7987e67ff9b6
- 8faa93be87bb327e760420b2faa33f0f972899a47c80dc2bc07b260c18dfcb14
- 9d966baefa96213861756fde502569d7bba9c755d13e586e7aaca3d0949cbdc3
- a2c701fcea4ed167fdb3131d292124eb55389bc746fcef8ca2c8642ba925895c
- befe69191247abf80c5a725e1f1024f7195fa85a7af759db2546941711f6e6ae
- c570e075f9676e79a1c43e9879945f4fe0f54ef5c78a5289fe72ce3ef6232a14
- ee87b4c50e5573cba366efaa01b8719902b8bed8277f1903e764f9b4334778d0
