Cerberi lunarahakiri avastati kahes Androidi rakenduses

Küberturbe eksperdid avastasid hiljuti Cerberi lunarahakirja kahe Androidi rakenduse koodist. Accechiamoli ja ForzaFò rakendused, mis sisaldasid kurikuulsat README.hta faili, on alla laaditavad otse Google Play poest. See avastus võib küll tunduda üsna hirmutav, kuna on selge, et laastava pahavara loojad on otsustanud oma sihtmärke laiendada. Võime aga öelda, et see ei ole probleem. Seni ei ole veel avaldatud pahavarakampaaniat Androididele, seega ründab see viirus endiselt üksnes Windows OS kasutajaid. See tähendab, et Itaalia Foggia Calcio jalgpalliklubi fännid ei pea kartma, et nende seade nakatub kogemata lunavaraviirusega.

ESET küberturbe tiim skänneeris mõlemad rakendust, otsides Cerberit. Nad ei leidnud aga mitte midagi kahtlast ega ohtlikku Android seadmetele. Skänner leidis ainult README.hta faili – Cerberi lunarahakirja. ESET mobiiliturbe ekspert Lukas Stefanko sõnul on üks põhjuseid, miks see fail sattus rakendustesse nimelt asjaolu, et rakenduste arendaja Francesco Pio Recchia oli Cerberi ohver. Rünnakute jooksul asetas viirus lunarahateate igasse krüpteeritud faile sisaldavasse kausta. See tähendab, et kui arendaja ei eemaldanud faile, võisidki need jääda rakenduse kausta. Teine oletus on see, et disainer, kes lõi ikoonid Accechiamoli ja ForzaFò rakendustele, oli Cerberi ohver. Seega võis lunarahateade jääda kogemata ikoonide kausta. Arendaja ei kontrollinud sega ning lihtsalt kopeeris kausta ja nii võiski jääda lunarahateade märkamata. Need on üksnes oletused – tõde ei tea hetkel keegi.

Kuigi HTA faile saab iseenesest kasutada krüptoviiruste levitamiseks, ei ole see nii sellel korral. README.hta fail ei ole pahavaraline ja ei sisalda ründekoodi. Turvaprogrammid küll lahterdavad selle faili pahavaraliste failide hulka, kuid tegelikult ei saa see fail seadet kahjustada. See fail sisaldab üksnes juhiseid selle kohta, mida häkkerid soovivad, et ohver teeks pärast rünnakut. Teates on info krüpteerimise kohta ning nõue tasuda teatud rahasumma failide tagasi saamiseks. Ohvritel palutakse kanda Bitcoine erilise Cerberi makselehe kaudu, millele pääseb ligi üksnes Tor brauseri kaudu. Rõhutame siinkohal, et lunavaraviiruste ohvrid ei tohiks järgida küberkurjategijate nõudeid. Lunaraha tasumine ei garanteeri, et sa saad oma failid tagasi.