Manuel Statik Analiz — Cerberus Android Banking Trojan | Tehdit: KRİTİK

Dosya Kimliği

SHA256454ffcf9ef438d5d3611460b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıChrome.apk (SAHTE Chrome APK!)
Boyut3.611.460 byte (3.44MB)
String Sayisi17.224

Chrome.apk: Sahte Google Chrome Taklidi

SAHTE UYGULAMA: Google Chrome kılığında banking trojan!
Chrome.apk
-- Google Chrome Android APK olarak gizlenmiş
-- Kurban: "Chrome güncellemesi" linkinden indirir → Cerberus yüklenir
-- Cerberus: Chrome üzerinde Accessibility Service overlay çalıştırır
-- Banka uygulamaları açıldığında sahte giriş ekranı gösterir
-- Chrome maskesi: hem meşru görünür hem de Chrome verilerine erişim sağlar

grs_sdk_server_config.json: SDK Sunucu Konfigürasyonu

assets/grs_sdk_server_config.json
-- "grs_sdk" = Cerberus'un dahili SDK adı
-- "server_config.json" = C2 sunucu yapılandırması
-- JSON: sunucu URL'leri, API anahtarları, protokol parametreleri
-- assets/ klasörü: APK içinde şifreli yapılandırma

340_public_key.peme + 746_public_key.peme: Numaralı Banka Anahtarları

HEDEF KİLİTLEME: Her banka için ayrı şifreleme anahtarı!
assets/public_keys/340_public_key.peme
assets/public_keys/746_public_key.peme
-- ".peme" = PEM sertifika dosyası (Private/Public Key)
-- "340", "746" = banka/hedef kimlik numaraları!
-- Her numara: farklı bir banka uygulamasına karşılık gelir
-- Cerberus: her bankayla şifreli iletişim → farklı anahtar
-- 2 farklı anahtar = en az 2 banka kurumunu hedefliyor
-- Daha geniş kampanyalarda 50+ farklı banka anahtarı görüldü

IOC

SHA256454ffcf9ef438d5d3611460b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TaklitChrome.apk (sahte Chrome)
Configassets/grs_sdk_server_config.json
Anahtar340_public_key.peme, 746_public_key.peme

Cerberus — Malware Profile

Cerberus Android banking trojan. Chrome.apk sahte Chrome. grs_sdk_server_config.json. Numbered bank keys.

Malware Type
Other
Programming Language
Java
C2 Protocol
HTTPS
Target Systems
Android

Technical Details

Infostealer ailesi: TCP C2 protokolu, kalicilik mekanizmasi (Registry/Task Scheduler), keylogger, ekran goruntüsü, uzak kabuk, dosya yoneticisi, process manager, anti-analiz kontrolleri

Capabilities & Behavior

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC List (1 indicators)

IOC — Cerberus
# SHA256 454ffcf9ef438d5d3611460b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 454ffcf9ef438d5d3611460b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
cerberusandroid-banking-trojanchrome-apk-fake-chromegrs-sdk-server-config-json340-public-key-peme746-public-key-pemenumbered-bank-keysencrypted-c2