cerberus-malware - RunkIntel

# Cerberus > [!danger] Resumo > Trojan bancário Android distribuído como Malware-as-a-Service (MaaS) desde 2019, especializado em ataques de overlay e abuso de serviços de acessibilidade. Teve seu código-fonte vazado em 2020, originando variantes como [[hook-malware|Hook]], Alien, ERMAC e [[perseus-malware|Perseus]]. ## Visão Geral O [[cerberus-malware|Cerberus]] surgiu em 2019 como uma plataforma MaaS no underground cibernético, rapidamente se tornando um dos trojans bancários Android mais proeminentes ao lado do Anubis. Desenvolvido por um operador conhecido como "Duke", o malware era alugado a fraudadores que o utilizavam para atacar instituições financeiras, principalmente na Turquia e Itália. Em agosto de 2020, após reclamações de clientes sobre bugs e detecções pelo Google Play Protect, Duke tentou vender o código-fonte sem sucesso e acabou vazando-o públicamente em fóruns underground. Este vazamento gerou uma "onda de mutação" de trojans customizáveis que perdura até hoje. O legado do Cerberus é extenso: dele derivaram o [[hook-malware|Hook]], Alien (fork direto do Cerberus v1 com roubo de 2FA do Google Authenticator), ERMAC, Phoenix e, mais recentemente, o [[perseus-malware|Perseus]] (2026), que evolui a base Cerberus/Phoenix para device takeover completo. ## Capacidades Técnicas - **Ataques de overlay**: Exibe telas de login falsas sobre aplicativos legítimos para capturar credenciais, dados de cartão e OTPs, usando `SYSTEM_ALERT_WINDOW` para overlays fullscreen - **Abuso de acessibilidade**: Monitora conteúdo da tela, injeta inputs, concede permissões extras (SMS, chamadas), desabilita Google Play Protect e previne desinstalação - **Keylogging**: Captura contínua de teclas digitadas via [[t1056-001-keylogging|T1056.001]] - **Manipulação de SMS**: Interceptação, leitura e envio de mensagens SMS para bypass de 2FA - **Controle remoto**: Comandos C2 para execução de ações como `startInject`, `sendSms`, `forwardCall`, `deleteApplication`, `getContacts` - **Persistência**: Oculta ícone, desabilita AV, auto-concessão de permissões via abuso de acessibilidade - **Carregamento dinâmico**: Download de código adicional do servidor C2 para novos módulos ## Táticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Execução | [[t1204-002-malicious-file\|T1204.002]] | Instalação via apps maliciosos no Google Play ou sideload | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging contínuo de entradas do usuário | | Evasão | [[t1027-002-software-packing\|T1027.002]] | Packing e ofuscação de código para evadir detecção | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTP/HTTPS com servidor C2 | | Coleta | [[t1005-data-from-local-system\|T1005]] | Roubo de contatos, SMS, informações do dispositivo | | Evasão | [[t1055-process-injection\|T1055]] | Injeção em processos para execução de módulos | | Acesso a Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Overlay attacks em apps bancários e financeiros | ## Cadeia de Infecção 1. **Distribuição**: Aplicativos trojanizados no Google Play Store ou distribuídos via phishing/sideload 2. **Instalação**: App solicita permissões de acessibilidade ao usuário 3. **Escalação**: Serviço de acessibilidade auto-concede permissões adicionais (SMS, chamadas, armazenamento) 4. **Desabilitação de defesas**: Desativa Google Play Protect e oculta ícone do app 5. **Overlay**: Monitora apps abertos e injeta telas falsas sobre aplicativos bancários-alvo 6. **Exfiltração**: Credenciais, OTPs e dados de cartão enviados ao servidor C2 7. **Controle**: Operador executa comandos remotos para fraude (encaminhamento de chamadas, envio de SMS, instalação de apps) ## Atores Associados - **Duke** - Desenvolvedor original que operou o MaaS até agosto de 2020 - Operadores que compraram/alugaram o Cerberus para campanhas de fraude financeira - Derivados operados por novos grupos: Alien (fork v1), ERMAC, Phoenix, [[hook-malware|Hook]], [[perseus-malware|Perseus]] ## Aplicativos-Alvo O Cerberus e seus derivados visavam até **226 aplicativos** incluindo: - Apps bancários (Bank of América, e bancos europeus/turcos) - Apps de criptomoedas (Coinbase, Binance) - Redes sociais e mensageiros (Gmail, Telegram) ## Indicadores de Comprometimento (IoCs) IoCs específicos do Cerberus original tornaram-se obsoletos após o vazamento do código-fonte em 2020. Derivados modernos ([[hook-malware|Hook]], [[perseus-malware|Perseus]]) utilizam infraestrutura própria. Consulte relatórios da [[threatfabric|ThreatFabric]] para IoCs atualizados de variantes ativas. ## Referências - [ThreatFabric - Cerberus: A New Banking Trojan from the Underworld](https://www.threatfabric.com/blogs/cerberus-a-new-banking-trojan-from-the-underworld) - [ThreatFabric - Alien: The Story of Cerberus' Demise](https://www.threatfabric.com/blogs/alien_the_story_of_cerberus_demise) - [Zimperium - Cerberus Trojan Glossary](https://zimperium.com/glossary/cerberus-trojan) - [Prey Project - Cerberus RAT: Dark Legacy](https://preyproject.com/blog/cerberus-rat-android-malware-dark-legacy)