【安全资讯】Cerberus恶意软件冒充COVID-19联系人追踪应用

本月早些时候，一个身份不明的攻击者向法国的手机用户发送了大量短信，敦促他们下载声称是法国官方的COVID-19联系人追踪应用程序TousAntiCovid。

信息中包含指向一个网站的链接，网站的设计与该应用程序的法国政府官方网站极为相似，但是提供了使用合法应用程序名称和图标的Android APK，但它实际上是名为Cerberus的Android恶意软件家族的变种 。

除了社会工程外，该应用程序本身是一种复杂的恶意软件，具有多种恶意功能：它可以读取或发送SMS消息和通知；记录和转发电话；从银行应用程序，Google帐户和Google Authenticator TOTP应用程序中窃取凭据，以及多因素身份验证令牌；读取锁屏密码；并记录在虚拟键盘上输入的所有击键。

Cerberus的源代码于今年早些时候泄漏，此变种似乎是从泄漏的源代码中构建的。这些Cerberus样本与其他许多样本具有一个共同特征：它们的名称是名词，动词和形容词的看似无关的三重拼接：tuna.obvious.trust，issue.dragon.more和dog.sail.battle是我们遇到的三个样本。它还运行前台服务，以便在手机上启用电池优化设置时保持持久性，甚至保持活动状态。

经过一番分析后，我们发现了该应用程序的多个版本。它们通过纯HTTP与C2进行通信。它们的HTTP POST C2消息的内容显示为base64编码的纯文本。

在一些法语新闻网站上出现了有关该应用程序的报道之后，Google进行了相应的行动，使该应用程序的功能受到限制。如果Android手机上的Google Play保护功能已启用并处于活动状态，则恶意服务会在首次启动时立即将其删除，并警告用户该应用程序是伪造的，具有盗窃数据的能力。另外，我们遇见一种罕见的情况，其中Play Protect会在它可能造成危害之前就将其捕获。仅当Play Protect功能已完全禁用或手机运行的Android版本不支持该功能时，该恶意软件应用才能运行。