Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер Зловреден софтуер Perseus Banking

Зловреден софтуер Perseus Banking

До Mezo през Мобилен зловреден софтуер, Банков троянски конг
Превод на:

Анализатори по киберсигурност са идентифицирали ново семейство злонамерен софтуер за Android, известно като Perseus Android malware, активно внедрен в „дива среда“, за да позволи превземане на устройства (DTO) и да извършва финансови измами. Тази заплаха представлява значителна еволюция в мобилния зловреден софтуер, съчетавайки установени техники с подобрена оперативна гъвкавост.

Еволюция от доказани родословия на зловреден софтуер

Perseus е изграден върху основите на зловредния софтуер Cerberus и зловредния софтуер Phoenix за Android, и двата добре познати троянски коне за банкиране на Android. Документиран за първи път през август 2019 г., Cerberus злоупотребява с услугите за достъпност на Android, за да повишава привилегиите, да събира чувствителни данни и да използва наслагващи атаки за кражба на идентификационни данни. След изтичането на изходния му код през 2020 г. се появиха множество производни, включително Alien, ERMAC и Phoenix.

Perseus разширява кодовата база на Phoenix, развивайки се в по-адаптивна и способна платформа. Индикатори като обширно регистриране в приложението и необичайни артефакти в кода предполагат, че злонамерените лица може да са използвали помощта на големи езикови модели (LLM) по време на разработката.

Вектор на заразяване: Социално инженерство чрез IPTV приложения

Стратегията за разпространение разчита до голяма степен на социално инженерство. Perseus се доставя чрез приложения за пускане, хоствани на фишинг уебсайтове, често маскирани като IPTV услуги. Този подход отразява кампании, свързани със зловредния софтуер Massiv за Android, насочени към потребители, търсещи неоторизиран достъп до първокласно стрийминг съдържание.

Чрез вграждане на злонамерени полезни товари в привидно легитимни IPTV приложения, нападателите намаляват подозрението на потребителите и значително увеличават процента на успеваемост на заразяването. Кампанията е насочена предимно към потребители в множество региони, включително Турция, Италия, Полша, Германия, Франция, Обединените арабски емирства и Португалия.

Верига за внедряване на зловреден софтуер и известни артефакти

Няколко приложения са идентифицирани като част от екосистемата за разпространение на Perseus:

  • Roja App Directa (com.xcvuc.ocnsxn) – Dropper приложение
  • TvTApp (com.tvtapps.live) – Основен полезен товар на Персей
  • PolBox Tv (com.streamview.players) – Вариант с вторичен полезен товар

Тези приложения служат като входни точки за инсталиране на злонамерен софтуер върху компрометирани устройства.

Разширени възможности за поемане на контрол над устройства

Perseus използва услугите за достъпност на Android, за да установява отдалечени сесии, което позволява наблюдение в реално време и прецизно взаимодействие със заразените устройства. Тази функционалност позволява пълно поемане на контрол над устройството, предоставяйки на нападателите широк контрол върху потребителската активност.

За разлика от традиционните банкови троянски коне, Perseus надхвърля събирането на идентификационни данни, като активно наблюдава приложенията за водене на бележки. Това поведение показва умишлен фокус върху извличането на високоценна лична и финансова информация, която може да не се съхранява в конвенционалните полета за идентификационни данни.

Основни техники за атака: Наслагване и прихващане на входни данни

След като бъде активен, Perseus използва добре установени техники за зловреден софтуер за банкиране в Android. Той стартира атаки с наслагване, за да показва измамни интерфейси върху легитимни банкови и криптовалутни приложения, като събира потребителски данни в реално време. Освен това се използва регистриране на натисканията на клавиши за прихващане на чувствителни входни данни, докато те се въвеждат.

Командно-контролни операции: рамка за дистанционно управление

Зловредният софтуер се контролира чрез инфраструктура за командване и контрол (C2), която позволява на операторите да издават команди, да манипулират поведението на устройствата и да оторизират измамни транзакции. Ключовите поддържани команди включват:

  • Извличане на данни и наблюдение (напр. заснемане на бележки от приложения като Google Keep, Evernote и Microsoft OneNote)
  • Дистанционно управление на сесии чрез VNC и HVNC за взаимодействие в реално време или структурирано взаимодействие с потребителски интерфейс
  • Заснемане на екранна снимка с помощта на услуги за достъпност
  • Контрол на приложенията, включително стартиране на приложения или премахване на ограничения
  • Тактики за заблуда на потребителите, като например наслагване на черен екран и заглушаване на звука
  • Принудителна инсталация от неизвестни източници и симулирани взаимодействия с потребителите

Този изчерпателен набор от команди позволява на нападателите да поддържат постоянен и скрит контрол върху компрометирани устройства.

Тактики за избягване и осведоменост за околната среда

Perseus използва усъвършенствани техники за анти-анализ, за да избегне откриване. Той извършва обширни проверки на средата, включително идентифициране на инструменти за отстраняване на грешки, проверка на наличието на SIM карта, анализ на броя на инсталираните приложения и валидиране на показателите за батерията, за да потвърди изпълнението на реално устройство.

Зловредният софтуер обобщава тези данни в „оценка на подозрение“, която се предава на C2 сървъра. Въз основа на тази оценка операторите определят дали да продължат с по-нататъшна експлоатация или да останат в латентно състояние, за да избегнат откриване.

Стратегически последици: Ефективност чрез еволюция

Perseus е пример за продължаващата еволюция на зловредния софтуер за Android, където новите заплахи все повече се изграждат върху съществуващи рамки, вместо да се разработват от нулата. Чрез комбиниране на наследени възможности от Cerberus и Phoenix с целенасочени подобрения, като например наблюдение на бележки и подобрено дистанционно управление, Perseus постига баланс между ефективност и иновации.

Този подход отразява по-широка тенденция в киберпрестъпността: приоритизиране на адаптивността, мащабируемостта и извличането на високоценни данни, което прави съвременните кампании за злонамерен софтуер по-ефективни и по-трудни за откриване.

Тенденция

Valrelio.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Безопасното сърфиране в интернет изисква постоянна осведоменост за измамни тактики, използвани от злонамерени или ненадеждни уебсайтове. Измамническите страници често се опитват да манипулират...

Вашият акаунт ще бъде деактивиран. Измама с имейли.

Фишинг, Спам
Бдението при работа с неочаквани имейли е от съществено значение за защитата на личната информация и онлайн акаунтите. Киберпрестъпниците често маскират фишинг съобщенията като спешни известия, за да окажат натиск върху получателите да действат бързо, без да проверяват автентичността им. Измамата с имейли „Вашият акаунт ще бъде деактивиран“ е един такъв пример. Анализът на сигурността показва,...

Ledger - Засечена е подозрителна активност в DEX....

Фишинг, Спам
Неочакваните имейли, които твърдят за спешни проблеми със сигурността, винаги трябва да се третират с повишено внимание. Киберпрестъпниците често се представят за известни марки, за да създадат паника и да окажат натиск върху получателите да действат бързо. Така нареченият имейл „Ledger - Засечена е подозрителна DEX активност“ е един такъв пример. Въпреки че изглежда, че идват от Ledger,...

Най-гледан

Зареждане...