Los atacantes infectaron más del 75% de los dispositivos Android administrados de un conglomerado multinacional con el troyano bancario Cerberus utilizando el comprometido servidor Mobile Device Manager (MDM) de la compañía.
MDM (también conocido como Enterprise Mobility Management – EMM) es un mecanismo utilizado por empresas de todos los tamaños para inscribir dispositivos de propiedad empresarial con el mismo servidor de administración para facilitar la realización de tareas como entregar configuraciones de dispositivos en toda la empresa, implementar aplicaciones, y más.
El troyano bancario Cerberus se descubrió por primera vez en junio de 2019 y utiliza un modelo comercial de Malware-as-a-Service (MaaS) que permite a los clientes que alquilan sus servicios dejar caer sus cargas útiles, así como configurar y controlar dispositivos comprometidos durante sus ataques.
Una vez implementado en un dispositivo Android, Cerberus puede ser utilizado por los atacantes para robar una amplia gama de información altamente confidencial, que incluye, entre otros, registros de llamadas, mensajes de texto, credenciales, códigos 2FA de Google Authenticator, patrones de desbloqueo del teléfono, así como para recopilar información sobre aplicaciones instaladas y pulsaciones de teclas de registro.
La empresa restablece de fábrica todos los dispositivos registrados
Después de que los atacantes comprometieron con éxito el servidor MDM de la compañía no identificada después de un ataque dirigido, lo usaron para implementar de forma remota el malware troyano bancario en más del 75% de todos los dispositivos Android administrados como descubrieron los investigadores de seguridad de Check Point .
Esto fue lo que permitió a los investigadores detectar el ataque después de que dos aplicaciones maliciosas se instalaron en una gran cantidad de dispositivos de la compañía en muy poco tiempo con la ayuda del servidor MDM violado.
Para deshacerse del malware y eliminar la capacidad de los atacantes para controlar los dispositivos infectados, la compañía decidió restablecer todos los dispositivos inscritos en el servidor MDM comprometido.
«Esta es la primera vez que tenemos un incidente reportado de distribución de malware móvil que utiliza el servidor MDM como un vector de ataque», dijeron los investigadores.
Abuso del servicio de accesibilidad de Android
Justo después de infectar un dispositivo, el malware mostrará un cuadro de diálogo camuflado como una actualización para el Servicio de Accesibilidad de Android que seguirá apareciendo en la pantalla hasta que la víctima ceda y presione el botón «Activar actualización».
Después de obtener acceso al Servicio de Accesibilidad, Cerberus lo usará más tarde para hacer clic en las opciones del menú y evitar la interacción del usuario.
El troyano bancario se actualizó recientemente con la funcionalidad RAT en febrero y ahora es capaz de robar los códigos de autenticación de dos factores (2FA) Google Authenticator de las víctimas que proporcionan una capa adicional de seguridad al iniciar sesión en servicios como bancos, correo electrónico, mensajería y redes sociales. redes de medios
Cerberus también tiene capacidades de troyano de acceso remoto (RAT) basadas en TeamViewer que hacen posible que sus operadores tengan control remoto total de los dispositivos infectados. Además, utiliza superposiciones para capturar el patrón de bloqueo de pantalla para permitir que los atacantes accedan a los dispositivos de forma remota.
El malware descarga un módulo ring0.apk que agrega la capacidad de recolectar contactos, mensajes SMS y la lista de aplicaciones instaladas y enviarlo al servidor de comando y control.
«Este módulo también puede realizar acciones relacionadas con el teléfono, como enviar mensajes SMS específicos, hacer llamadas y enviar solicitudes USSD», encontraron los investigadores. «Además, este módulo puede mostrar notificaciones, instalar o desinstalar aplicaciones y abrir actividades emergentes con URL».
Mantener el acceso a dispositivos comprometidos
Cerberus mantiene el acceso al bloquear los intentos de las víctimas de desinstalar TeamViewer y también obtendrá privilegios de administrador, lo que obstaculizará aún más la capacidad de los usuarios para desinstalar cualquier aplicación que necesite para realizar sus tareas maliciosas.
El malware también bloqueará los intentos de los usuarios de eliminar la aplicación al cerrar automáticamente la página de detalles de la aplicación cuando las víctimas intenten abrirla.
En dispositivos comprometidos, Cerberus también deshabilitará Google Play Protect, la protección integrada contra malware de Android para Android, al abusar del Servicio de Accesibilidad, evitando así la detección y la eliminación automática.
«Este incidente subraya la importancia de distinguir entre administrar y proteger dispositivos móviles.
«Administrar un dispositivo móvil significa instalar aplicaciones, configurar ajustes y aplicar políticas en varios dispositivos a la vez», agregaron. «Asegurar un dispositivo móvil significa protegerlo de amenazas y ataques de malware».
Los indicadores de compromiso, incluidas las direcciones IP del servidor de comando y control, los nombres de paquetes de las aplicaciones maliciosas de Android y los hash SHA256 están disponibles aquí .