10,000多名用户从Google Play下载的外观无害的货币转换器应用程序旨在提供Cerberus银行木马。

Cerberus是一种恶意软件即服务（Maas），以其移动远程访问特洛伊木马（mRAT）功能以及通过其记录击键并窃取凭据，来自Google Authenticator的信息和SMS消息的功能而闻名。

作为新发现的攻击的一部分，该恶意软件伪装成西班牙的Android用户的货币转换器，并在将恶意活动提交给Google Play后隐藏了数周，从而使其未被发现。

因此，在开始收集用户银行数据的恶意程序之前，它设法获得了10,000多个下载。Avast的安全研究人员透露，这个名为Calculadora de Moneda的应用程序已经报告给Google删除。

在稍后的阶段，该应用程序收到了包含dropper代码的更新，但是命令和控制（C＆C）服务器仅在一段时间后才开始发布命令，以避免其用户的怀疑。

经过数月的良性操作，该应用程序从C＆C接收到命令，指示其下载Cerberus银行木马，该木马旨在监视用户的活动并在受害者手机上使用的银行应用程序上显示假登录页面。

因此，特洛伊木马程序会窃取用户的登录凭据，并且由于其具有读取文本消息和两因素身份验证详细信息的能力，还可能能够绕过安全措施并破坏银行帐户。

据Avast称，C＆C服务器会在短时间内主动提供恶意有效负载，此后该服务器消失了，“ Google Play上的货币转换器应用不再包含Trojan恶意软件”，这是试图逃避网络罪犯的一种常见策略检测。

建议用户始终确保使用经过验证的银行应用程序，采用两因素身份验证，仅依赖受信任的应用程序商店，检查新应用程序的等级以及验证应用程序所需的权限。使用移动安全解决方案应该有助于保护自己。

“即使恶意软件滑入Google Play，其有效载荷还是从外部来源下载的。如果您停用从其他来源下载应用程序的选项，则可以安全地在手机上激活这种类型的银行木马。” Avast指出。