Là một phần của cuộc tấn công, tội phạm mạng đã phát tán một biến thể mới của mã độc Android Cerberus được thiết kế để thu thập lượng lớn dữ liệu nhạy cảm và chuyển tới một máy chủ điều khiển và ra lệnh (C&C). Nạn nhân mà tin tặc nhắm mục tiêu được các nhà nghiên cứu mô tả là một "cộng đồng đa quốc gia".
Được phát hiện lần đầu tiên vào ngày 18/2, cuộc tấn công liên quan tới việc cài đặt hai ứng dụng độc hại lên các thiết bị của tổ chức trong một khoảng thời gian ngắn. Điều này là do những kẻ tấn công đã xâm phạm máy chủ MDM mục tiêu và lợi dụng các tính năng cài đặt ứng dụng từ xa của nó để cài đặt phần mềm độc hại.
Trojan ngân hàng Cerberus sử dụng trong tấn công này là một mã độc cho thuê dưới dạng dịch vụ (MaaS) có những khả năng của Trojan truy cập từ xa di động (MRAT). Nó có thể ghi lại những thao tác phím (keystrokes) trên thiết bị và đánh cắp thông tin đăng nhập, dữ liệu xác thực Google và nhận tin nhắn SMS (bao gồm cả xác thực hai yếu tố). Những kẻ tấn công có thể sử dụng nó để điều khiển thiết bị từ xa thông qua TeamViewer.
Một khi được cài đặt, mã độc hiển thị một cửa sổ giả mạo như một bản cập nhật dịch vụ. Khi người dùng chấp nhận đăng ký cập nhật, ứng dụng có thể khởi động thực thi luồng mã độc. Sau khi kết nối với máy chủ C&C, mã độc nhận được một danh sách các lệnh cần thực hiện.
Một modul đầu tiên của mã độc có thể đánh cắp những thông tin xác thực trên Google, các mật khẩu Gmail, các phần mở khóa điện thoại, gửi ra ngoài một danh sách các tệp tin, các ứng dụng đã được cài đặt và có thể đẩy lên các tệp tin nếu được yêu cầu. Nó cũng có thể ngăn chặn các nỗ lực gỡ bỏ cài đặt TeamViewer, cho phép những kẻ tấn công có được những khả năng điều khiển từ xa.
Để tiếp tục, phần mềm độc hại này lợi dụng những quyền quản trị và ngăn chặn các nỗ lực gỡ cài đặt bằng cách tự động đóng các trang thông tin chi tiết về ứng dụng. Nó cũng vô hiệu hóa tính năng bảo vệ của Google để tránh bị phát hiện và gỡ bỏ.
Một modun thứ hai (payload) được thiết kế chủ yếu với các tính năng đánh cắp dữ liệu và thông tin xác thực, có thể thu thập tất cả các kết nối, SMS, các ứng dụng đã cài đặt và gửi dữ liệu tới máy chủ C&C. Hơn nữa, modul có thể gửi tin nhắn SMS, thực hiện cuộc gọi, gửi yêu cầu USSD, hiển thị các thông báo, cài đặt hoặc gỡ bỏ các ứng dụng và mở các hoạt động popup với các URL.
Theo Check Point, phần mềm độc hại đã thực hiện các hoạt động đánh cắp dữ liệu trên tất cả các thiết bị không được bảo vệ mà chúng đã xâm phạm, nghĩa là mọi thông tin đăng nhập đều bị đánh cắp. Nếu mọi thiết bị không được bảo vệ này được người quản trị sử dụng để truy nhập tài nguyên của công ty bằng các thông tin đăng nhập của họ, những kẻ tấn công sẽ lấy được những thông tin này.
Do mức độ xâm phạm và những khả năng của phần mềm độc hại này, tổ chức bị tấn công đã quyết định cài đặt lại tất cả các thiết bị liên quan.
Check Point kết luận: "Chiến dịch này cho thấy tầm quan trọng của việc biết được sự khác biệt giữa quản lý và bảo mật các thiết bị di động. Các thiết bị di dộng là một phần không thể thiếu trong công việc, giao tiếp và hoạt động của doanh nghiệp. Chúng ta cần phải bảo vệ các thiết bị này để không trở thành mục tiêu hấp dẫn của tin tặc."