Спецпроекты

Хакеры отчаялись продать банковский троян и сделали его бесплатным. Это больно ударит по России

Безопасность Стратегия безопасности Бизнес Маркет

После неудачной попытки продать исходный код банковского троянца Cerberus его авторы выложили его в открытый доступ. Количество атак немедленно выросло.

Неприкаянный троян

Исходный код печально известного банковского троянца Cerberus (предположительно российского происхождения) оказались в открытом доступе на хакерских форумах после неудачной попытки продать его с аукциона. Об этом на конференции Kaspersky NEXT 2020 заявил эксперт компании Дмитрий Галов.

Авторы троянца пытались продать его еще в июле 2020 г. Назначенная стартовая цена составляла $50 тыс., но исходники можно было выкупить сразу за $100 тыс. Решение выставить код на торги его авторы объясняли «отсутствием времени» и «распадом команды».

Продажа по какой-то причине не состоялась, и авторы вредоноса выложили его в бесплатный доступ. В комплекте — исходный код компонентов (вредоносный APK, администраторская панель, код контрольного сервера), инструкции по установке, набор установочных скриптов и список пользователей с действующей лицензией.

Что такое Cerberus

Cerberus привлек внимание экспертов по безопасности в конце лета 2019 г. Сам по себе этот вредонос является RAT-троянцем под Android. Характерной особенностью его является полная оригинальность кода — авторы вредоноса написали его с нуля самостоятельно.

haker600.jpg
Исходники троянца Cerberus попали в открытый доступ

До лета 2020 г. авторы Cerberus предлагали арендовать свою разработку за $12 тыс. в год, $4 тыс. за три месяца или $7 тыс. за полгода.

Сам по себе вредонос обладает очень широкой функциональностью. Он способен перехватывать аудио и сигналы с наэкранной клавиатуры, записывать аудио, делать скриншоты, получать, отправлять и удалять SMS-сообщения, перенаправлять звонки, красть списки контактов, собирать данные об устройстве и отслеживать его местоположение, а также устанавливать и удалять посторонние приложения, слать PUSH-уведомления и даже блокировать экран устройства. Кроме того, троянец способен нейтрализовывать защиту PlayProtect и обходить двухфакторную авторизацию.

В июле 2020 г. эксперты компании Avast обнаружили в GooglePlay приложение — конвертер валют, которое при ближайшем рассмотрении оказалась инструментом доставки Cerberus. По всей видимости, изначально приложение было совершенно невинным, но как только его аудитории достигла определенных размеров, приложение обзавелось вредоносными функциями. На момент обнаружения в нем троянца приложение скачали около 10 тыс. раз.

Что будет дальше

По словам Галова, как только исходники троянца попали в открытый доступ, резко возросло количество заражений Cerberus в Европе и России. Характерно, что авторы вредоноса убеждали своих партнеров не использовать Cerberus против граждан России.

«Стоит ожидать появления большого разнообразия вредоносов на базе Cerberus, — полагает Дмитрий Кирюхин, эксперт по информационной безопасности компании SECConsultServices. — В том числе таких, которые будут активно атаковать граждан России. Среди российских вирусописателей существует негласное правило “по России не работать”; пока Cerberus распространялся централизованно, участники “партнёрки” его более-менее соблюдали, но теперь об этом можно будет забыть. Что касается защиты, то самый эффективный метод — это как можно реже устанавливать какие-либо приложения на смартфон. Особенно те, в которых нет острой необходимости».