Em relatório produzido pelo ThreatFabric, foi reportado a existência do malware de Android, nomeado “Cerberus”. A descoberta aconteceu em Junho de 2019, e passou a focar esforços também em exchanges.

Ironicamente, @AndroidCerberus é uma conta real do Twitter dos desenvolvedores do vírus. Nela, são postadas piadas, provocações e até mesmo publicidade do programa para usuários da rede social.

Twitter dos desenvolvedores de Cerberus, fazendo promoção ao malware

Enquanto tenta se descobrir a razão da criação do perfil público em pleno Twitter, a empresa de segurança especializada em ameaças ao setor financeiro ThreatFabric explicou brevemente o funcionamento do vírus.

Ao se iniciar pela primeira vez, o aplicativo se esconde da lista de programas, além de requisitar por permissões especiais. Com estas, ele passa a se auto-conceder cada vez mais privilégios.

O principal risco, porém, é o seguinte: o malware tem capacidade de verificar sua movimentação ao hackear o pedômetro; assim, pode verificar se há alguém utilizando o celular, e ativa os bots de acordo.

Além disso, recentemente recebeu uma atualização, em Janeiro, para se tornar capaz de roubar chaves de Autenticação de Dois Fatores; assim, caso você tenha códigos ou senhas temporárias para suas contas, ainda assim poderá ser invadido com o roubo dessas credenciais.

Malwares no Android

Rental business evolution
Programas para alugar e seus anos de operação. Fonte: ThreatFabric

“Seus autores afirmam que (Cerberus) foi usado para operações privadas por dois anos antes do início dos aluguéis. Eles também afirmam que o código foi escrito “do zero”, e não está usando partes de outros Trojans bancários existentes, ao contrário de muitos outros que são baseados completamente na fonte de outro Trojan (como o código fonte vazado do Anubis, que está sendo revendido agora), ou emprestar pelo menos partes de outros Trojans. Após uma análise completa, podemos confirmar que o Cerberus não era baseado no código fonte do Anubis.”

ThreatFabric, falando sobre o código do novo Trojan “Cerberus”

Assim como foi explicado acima, o vírus rapidamente adquire múltiplos privilégios indesejados no dispositivo do usuário. Dentre suas “funcionalidades”, ele possui:

  • Keylogging (registro de palavras e senhas digitadas)
  • Controle total de SMS
  • Coleta de informações de Contatos, Dispositivo, etc.
  • Ação remota: Instalar, Iniciar, Desinstalar apps, etc.
  • Controle de Notificações
  • Controle da Tela, do Bloqueio de Tela, etc.

Exchanges na mira do Trojan

Parte da lista de “alvos” que o Cerberus possuía como objetivo, existiam instituições financeiras de grande porte ao redor do globo, sem contar em apps de redes sociais, por exemplo.

Além disso, mais de 26 exchanges de criptomoedas estavam listadas; dentre elas, temos a Coinbase, Binance, Xapo, Wirex e Bitpay.

Por fim, é recomendável investir em chaves de autenticação de dois fatores físicas. Possuindo formato similar a um pen-drive, torna o hackeamento bem mais difícil, já que para obter os códigos o criminoso deve roubar a própria chave física.