Hoe de Cerberus banking Trojan te verwijderen
Geschreven door Tomas Meskauskas op (bijgewerkt)
Wat is Cerberus?
Cerberus is een Android banking Trojan die gehuurd kan worden op hacker forums. Het is gemaakt in 2019 en wordt gebruikt om gevoelige, vertrouwelijke informatie te stelen. Cerberus kan ook worden gebruikt om commando's naar de apparaten van gebruikers te sturen en gevaarlijke acties uit te voeren.
Doorgaans proberen cybercriminelen achter banking Trojans zoals Cerberus toegang te krijgen tot informatie, die kan worden misbruikt om inkomsten te genereren.
Cerberus is vermomd als een Flash Player-toepassing of een service, die niet tussen de toepassingen verschijnt. Het probeert gebruikers te misleiden tot het verlenen van verhoogde privileges via de Accessibility Service. Als die privileges worden verleend, is Cerberus verbonden met een botnet en kan het commando's ontvangen van een Command & Control (C2) server.
Cybercriminelen achter Cerberus kunnen hiermee verschillende acties uitvoeren op het apparaat van het slachtoffer.
Bijvoorbeeld als keylogger, om de lijst van geïnstalleerde apps te verkrijgen, toegang te krijgen tot contacten (namen en nummers), het doorschakelen van oproepen naar een bepaald nummer in te schakelen, pushmeldingen weer te geven die, als erop wordt geklikt, een specifieke app starten, toepassingen te starten, te verwijderen, tekstberichten te versturen, adressen in WebView te openen, het scherm te vergrendelen, en andere gevaarlijke taken.
Bovendien is deze banking Trojan in staat om 'overlay attacks' uit te voeren, die kunnen worden gebruikt om slachtoffers te misleiden tot het verstrekken van vertrouwelijke informatie, zoals creditcardgegevens, bankgegevens, e-mailgegevens en andere gevoelige gegevens. Samengevat kan Cerberus opereren als een gegevenssteler en credit card grabber.
Vertrouwelijke informatie wordt gestolen wanneer slachtoffers hun aanmeldingsgegevens of creditcardgegevens invoeren op overlays die legitieme aanmeldings- en banksites lijken te zijn. De gegevens worden vervolgens naar de C2-server van de aanvaller gestuurd.
Uit onderzoek blijkt dat, op het moment van onderzoek, Cerberus kan worden gebruikt om overlay-aanvallen uit te voeren op verschillende Franse, Amerikaanse en één Japanse bankapp, en op vijftien niet-bancaire applicaties.
| Naam | Cerberus banking malware |
| Type bedreiging | Android-malware, kwaadaardige toepassing, banktrojan. |
| Detectienamen | Avast (Android:Cerberus-L [Bank]), AVG (Android:Cerberus-L [Bank]), ESET-NOD32 (een variant van Android/TrojanDropper.Agent.EQH), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Hqwar.bz), volledige lijst (VirusTotal) |
| Gerelateerd domein | coronavirus-informations[.]online, canada-alert-covid19[.]com |
| Symptomen | Het apparaat werkt traag, de systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, er verschijnen dubieuze toepassingen, het gegevens- en batterijverbruik neemt aanzienlijk toe, browsers worden omgeleid naar malafide websites, er worden opdringerige advertenties geleverd. |
| Verspreidingsmethodes | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, bedrieglijke toepassingen, scam websites. |
| Schade | Gestolen persoonlijke informatie (privéberichten, logins/wachtwoorden, enz.), verminderde prestaties van het toestel, batterij is snel leeg, verminderde snelheid van de internetverbinding, groot gegevensverlies, geldverlies, gestolen identiteit (kwaadaardige apps kunnen misbruik maken van communicatie-apps). |
| Malware verwijderen (Android) | Om malware-infecties te verwijderen raden onze beveiligingsonderzoekers aan uw Android-toestel te scannen met legitieme anti-malware software. Wij raden Avast, Bitdefender, ESET of Malwarebytes. |
Cybercriminelen achter banking trojans zoals Cerberus proberen informatie te stelen die kan worden gebruikt om frauduleuze aankopen te doen, transacties uit te voeren, verschillende accounts te kapen, frauduleuze tekstberichten te versturen, enz. Mensen met apparaten die door Cerberus zijn geïnfecteerd, kunnen het slachtoffer worden van identiteitsdiefstal, geldelijk verlies lijden, online privacyproblemen ondervinden en andere ernstige problemen ondervinden.
Hoe heeft Cerberus mijn apparaat geïnfiltreerd?
Uit onderzoek blijkt dat Cereberus banking malware recentelijk is gepromoot via nep Flash Players (de installers) en coronavirus-gerelateerde domeinen (kwaadaardige websites zoals coronavirus-informations[.]online). Cybercriminelen vermommen kwaadaardige programma's gewoonlijk door namen van legitieme toepassingen te gebruiken, zoals Adobe Flash Player.
Meestal worden ze gepromoot op onofficiële, misleidende pagina's (in dit geval op pagina's met coronavirus-gerelateerde domeinen) en worden ze niet in verband gebracht met de officiële versies. Merk op dat de bedrieglijke webpagina's bezoekers proberen te verleiden tot het gebruik van nep Adobe Flash Player (en andere) installatieprogramma's door te beweren dat de geïnstalleerde versie verouderd is.
Hoe de installatie van malware te vermijden
Software en bestanden moeten worden gedownload van officiële websites en via directe koppelingen. Andere kanalen, zoals onofficiële, dubieuze sites, downloaders van derden, Peer-to-Peer netwerken, freeware download pagina's, gratis file hosting sites, etc. kunnen kwaadaardige programma's verspreiden.
Derde partij, nep installers verspreiden vaak malware. Bovendien mogen bijlagen en websitelinks in irrelevante e-mails die van onbekende, verdachte adressen worden ontvangen, niet worden geopend zonder er zeker van te zijn dat het veilig is om dit te doen. Geïnstalleerde software moet worden bijgewerkt en geactiveerd (indien nodig) met hulpprogramma's/functies die door officiële ontwikkelaars worden geleverd.
Verschillende "cracking" tools (niet-officiële activeringsprogramma's) kunnen kwaadaardige software installeren. Bovendien is het illegaal om gelicentieerde programma's met deze tools te activeren. Houd besturingssystemen veilig door ze regelmatig te scannen op bedreigingen met gerenommeerde antivirus- of antispyware-software.
Een andere bedrieglijke website (canada-alert-covid19[.]com) die wordt gebruikt om de Cerberus Trojan te verspreiden:
Nog een bedrieglijke website (chromedownload[.]club) gebruikte om Cerberus te verspreiden door het voor te stellen als een Google Chrome update:
Nog een bedrieglijke website (chromedownload[.]website) gebruikt om Cerberus te verspreiden door het voor te stellen als een Google Chrome update:
Screenshot van een kwaadaardige website (bigbitwallet[.]com) die de Cerberus banking Trojan promoot:
Nog een andere kwaadaardige website (cdph-ca[.]us) die wordt gebruikt om de Cerberus banking Trojan te verspreiden:
Een andere website ("safety-guidelines[.]online") maakte reclame voor de Cerberus banking Trojan door deze voor te stellen als een Adobe Flash Player updater:
Lijst van apps die het doelwit zijn van de Cerberus-malware (deze lijst kan worden uitgebreid):
- Bank of America Mobile Banking
- Banque
- Banque Populaire
- Boursorama Banque
- Capital One® Mobile
- Chase Mobile
- Connect for Hotmail
- Fifth Third Mobile Banking
- Gmail
- imo free video calls and chat
- ING
- L'Appli Société Générale
- Ma Banque
- Mail (Android)
- Mes Comptes BNP Paribas
- Microsoft Outlook
- Play Market
- Snapchat
- Telegram
- U.S. Bank - Inspired by customers
- USAA Mobile
- Uber
- Viber
- Wells Fargo Mobile
- Yahoo Mail – Organized Email
Snelmenu:
- Introductie
- Hoe de browsergeschiedenis in de Chrome-webbrowser verwijderen?
- Hoe de browsermeldingen uitschakelen in de Chrome-webbrowser?
- Hoe de Chrome-webbrowser resetten?
- Hoe de browsergeschiedenis verwijderen in de Firefox-webbrowser?
- Hoe de browsermeldingen uitschakelen in de Firefox-webbrowser?
- Hoe de Firefox web browser resetten?
- Hoe mogelijk ongewenste en/of kwaadaardige toepassingen verwijderen?
- Hoe het Android toestel opstarten in "Veilige modus"?
- Hoe het batterijverbruik van verschillende applicaties controleren?
- Hoe het dataverbruik van verschillende applicaties controleren?
- Hoe de laatste software updates installeren?
- Hoe het systeem resetten naar de standaard toestand?
- Hoe applicaties met beheerdersrechten uitschakelen?
Verwijder de browsegeschiedenis uit de Chrome-webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende uitklapmenu.
Tik op "Browsegegevens wissen", selecteer het tabblad "ADVANCED", kies het tijdsbereik en de gegevenssoorten die u wilt wissen en tik op "Gegevens wissen".
Schakel browsermeldingen in de Chrome-webbrowser uit:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende uitklapmenu.
Scroll naar beneden tot u de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden tot u de optie "Meldingen" ziet en tik erop.
Zoek de websites die browsermeldingen leveren, tik erop en klik op "Wissen & resetten". Hiermee verwijdert u de verleende toestemming voor deze websites om meldingen te leveren, maar als u dezelfde site opnieuw bezoekt, kan deze opnieuw om toestemming vragen.
U kunt kiezen of u deze toestemmingen wilt geven of niet (als u kiest om te weigeren, gaat de website naar de sectie "Geblokkeerd" en zal niet langer om toestemming vragen).
Reset de Chrome webbrowser:
Ga naar "Instellingen", scroll naar beneden tot u "Apps" ziet en tik erop.
Scroll naar beneden totdat je "Chrome" applicatie vindt, selecteer het en tik op "Opslag" optie.
Tik op "BEWERK GEHEUGEN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Let op: als u de browser reset, worden alle daarin opgeslagen gegevens gewist. Daarom zullen alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens worden gewist. U zult ook opnieuw moeten inloggen op alle websites.
Verwijder de browsergeschiedenis van de Firefox webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende uitklapmenu.
Scroll omlaag tot u "Privégegevens wissen" ziet en tik erop. Selecteer het type gegevens dat u wilt verwijderen en tik op "GEGEVENS WISSEN".
Schakel browsermeldingen in de webbrowser Firefox uit:
Bezoek de website die browsermeldingen levert, tik op het pictogram dat links van de URL-balk wordt weergegeven (het pictogram is niet noodzakelijk een "Slot") en selecteer "Site-instellingen bewerken".
In de geopende pop-up, kies voor de optie "Meldingen" en tik op "VERWIJDEREN".
Reset de Firefox webbrowser:
Ga naar "Instellingen", scroll naar beneden tot u "Apps" ziet en tik erop.
Scroll naar beneden totdat u "Firefox" applicatie vindt, selecteer het en tik op "Opslag" optie.
Tik op "GEGEVENS WISSEN" en bevestig de actie door op "WISSEN" te tikken. Let op dat het resetten van de browser alle gegevens verwijdert die erin zijn opgeslagen. Daarom zullen alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. U zult ook opnieuw moeten inloggen op alle websites.
Verwijder mogelijk ongewenste en/of kwaadaardige toepassingen:
Ga naar "Instellingen", scroll naar beneden tot u "Apps" ziet en tik erop.
Scroll naar beneden totdat u een mogelijk ongewenste en/of kwaadaardige toepassing ziet, selecteer deze en tik op "Verwijderen". Als u om de een of andere reden de geselecteerde toepassing niet kunt verwijderen (u krijgt bijvoorbeeld een foutmelding), kunt u proberen de "Veilige modus" te gebruiken.
Start het Android toestel op in "Veilige modus":
De "Veilige modus" in het Android besturingssysteem schakelt tijdelijk alle toepassingen van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bv. kwaadaardige toepassingen verwijderen die u verhinderen wanneer het toestel "normaal" draait).
Druk op de "Power" knop en houd deze ingedrukt totdat u het "Power off" scherm ziet. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na een paar seconden verschijnt de optie "Veilige modus" en kunt u deze uitvoeren door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende toepassingen:
Ga naar "Instellingen", scroll omlaag tot u "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het gebruik van elke toepassing. Legitieme/legitieme applicaties zijn ontworpen om zo min mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en energie te besparen. Daarom kan een hoog batterijverbruik erop wijzen dat de toepassing kwaadaardig is.
Controleer het dataverbruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden tot u "Verbindingen" ziet en tik erop.
Scroll naar beneden tot u "Data usage" ziet en selecteer deze optie. Net als bij de batterij, zijn legitieme/legitieme toepassingen ontworpen om het gegevensgebruik zo veel mogelijk te beperken. Daarom kan aanzienlijk gegevensgebruik wijzen op de aanwezigheid van een kwaadaardige toepassing.
Merk op dat sommige kwaadaardige toepassingen ontworpen kunnen zijn om alleen te werken wanneer het toestel is verbonden met een draadloos netwerk. Om deze reden moet u zowel het mobiele als het Wi-Fi-gegevensgebruik controleren.
Als u een toepassing vindt die veel gegevens gebruikt hoewel u ze nooit gebruikt, raden wij u ten stelligste aan ze onmiddellijk te verwijderen.
Installeer de laatste software-updates:
Software up-to-date houden is een goede gewoonte voor de veiligheid van het toestel. De fabrikanten van het toestel brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen, die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, en daarom moet u er altijd voor zorgen dat de software van uw toestel up-to-date is.
Ga naar "Instellingen", scroll naar beneden tot u "Software-update" ziet en tik erop.
Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden u ook aan om de optie "Updates automatisch downloaden" in te schakelen - hierdoor zal het systeem u verwittigen wanneer er een update beschikbaar is en/of deze automatisch installeren.
Zet het systeem terug in de standaard toestand:
Het uitvoeren van een "Factory Reset" is een goede manier om alle ongewenste applicaties te verwijderen, de systeeminstellingen terug te zetten naar hun standaardwaarden en het toestel in het algemeen schoon te maken. Houd er ook rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video-/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de SIM-kaart), SMS-berichten, enzovoort.
D.w.z., het toestel wordt teruggezet naar de oorspronkelijke/fabrieksstatus.
U kunt ook de basissysteeminstellingen of alleen de netwerkinstellingen herstellen.
Ga naar "Instellingen", scroll naar beneden tot u "Over telefoon" ziet en tik erop.
Scroll naar beneden tot u "Reset" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen terugzetten naar standaard;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen terugzetten naar de standaardinstellingen;
"Fabrieksgegevens resetten" - het hele systeem resetten en alle opgeslagen gegevens volledig wissen;
Schakel toepassingen uit die beheerdersrechten hebben:
Als een kwaadaardige toepassing beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die dat niet zouden moeten.
Ga naar "Instellingen", scroll omlaag tot u "Vergrendelscherm en beveiliging" ziet en tik erop.
Scroll omlaag tot u "Andere beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".
Identificeer toepassingen die geen beheerdersrechten mogen hebben, tik erop en tik vervolgens op "DEACTIVATE".
Uitmuntend!
▼ Toon discussie