Tale app \u00e8 scaricabile scannerizzando il codice QR mostrato nella pagina.<\/p>\n\n\n\n
Se l’utente scannerizza il QR code con il proprio cellulare viene aperto il browser web contenente una pagine di Google Play falsa<\/strong> contenente un logo corrispondente all’app bancaria della banca a cui la vittima ha originariamente tentato di accedere.<\/p>\n\n\n\n Gli indirizzi utilizzati per l’hosting della falsa pagina Google Play sfruttano il typo-squatting<\/strong> per apparire all’utente come legittimi:<\/p>\n\n\n\n L’app scaricata in realt\u00e0 \u00e8 Cerberus<\/strong>, la quale, per continuare a mostrare delle informazioni coerenti, tiene in considerazione il nome della banca in cui la vittima ha tentato di loggarsi.<\/p>\n\n\n\n In background, l’injection associa il numero di telefon inserito dalla vittima con l’ID Ursinf assegnato al computer infettato, il nome della banca e le credenziali utilizzate dalla vittima per l’accesso. Le comunicazioni con i server di comando e controllo (C2<\/strong>) avvengono attraverso lo script Jambo<\/strong>, il quale comunica con srv_dom, cio\u00e8 il server di iniezione del malware, utilizzato per gestire l’attivit\u00e0 di man-in-the-browser.<\/p>\n\n\n\n Di seguito sono riportati i comandi utilizzati durante l’infezione: <\/p>\n\n\n\n
Cerberus viene utilizzato solo come componente per poter bypassare l’SMS con il codice di verifica. Mentre la transizione fraudolenta avviene attraverso i computer infettati.<\/p>\n\n\n\nComunicazione con i server C2<\/h3>\n\n\n\n