Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Programari maliciós bancari Perseus

Programari maliciós bancari Perseus

El Mezo el Programari maliciós mòbil, Troià bancari
Traduir a:

Els analistes de ciberseguretat han identificat una nova família de programari maliciós per a Android coneguda com a programari maliciós Perseus per a Android, desplegada activament per permetre la presa de control de dispositius (DTO) i executar fraus financers. Aquesta amenaça representa una evolució significativa en el programari maliciós per a mòbils, combinant tècniques establertes amb una flexibilitat operativa millorada.

Evolució a partir de llinatges de programari maliciós provat

Perseus es basa en els fonaments del programari maliciós Cerberus i del programari maliciós Phoenix per a Android, dos coneguts troians bancaris d'Android. Documentat per primera vegada a l'agost de 2019, Cerberus abusava dels serveis d'accessibilitat d'Android per escalar privilegis, recopilar dades sensibles i implementar atacs superposats per al robatori de credencials. Després que el seu codi font es filtrés el 2020, van sorgir múltiples derivats, com ara Alien, ERMAC i Phoenix.

Perseus estén la base de codi Phoenix, evolucionant cap a una plataforma més adaptable i capaç. Indicadors com ara el registre extensiu dins de l'aplicació i artefactes de codi inusuals suggereixen que els actors d'amenaces poden haver aprofitat l'assistència del model de llenguatge gran (LLM) durant el desenvolupament.

Vector d’infecció: Enginyeria social a través d’aplicacions IPTV

L'estratègia de distribució es basa en gran mesura en l'enginyeria social. Perseus es distribueix a través d'aplicacions dropper allotjades en llocs web de phishing, sovint disfressades de serveis d'IPTV. Aquest enfocament reflecteix campanyes associades amb programari maliciós massiu per a Android, dirigides a usuaris que busquen accés no autoritzat a contingut premium en streaming.

En integrar càrregues útils malicioses dins d'aplicacions IPTV aparentment legítimes, els atacants redueixen les sospites dels usuaris i augmenten significativament les taxes d'èxit d'infecció. La campanya s'ha dirigit principalment a usuaris de diverses regions, com ara Turquia, Itàlia, Polònia, Alemanya, França, els Emirats Àrabs Units i Portugal.

Cadena de desplegament de programari maliciós i artefactes coneguts

S'han identificat diverses aplicacions com a part de l'ecosistema de distribució de Perseus:

  • Roja App Directa (com.xcvuc.ocnsxn) – Aplicació Dropper
  • TvTApp (com.tvtapps.live) – Càrrega útil principal de Perseus
  • PolBox Tv (com.streamview.players): variant de càrrega secundària

Aquestes aplicacions serveixen com a punts d'entrada per instal·lar programari maliciós en dispositius compromesos.

Capacitats avançades de presa de control de dispositius

Perseus aprofita els serveis d'accessibilitat d'Android per establir sessions remotes, permetent la supervisió en temps real i la interacció precisa amb els dispositius infectats. Aquesta funcionalitat permet la presa de control total del dispositiu, atorgant als atacants un ampli control sobre l'activitat dels usuaris.

A diferència dels troians bancaris tradicionals, Perseus va més enllà de la recol·lecció de credencials mitjançant la supervisió activa de les aplicacions de presa de notes. Aquest comportament indica un enfocament deliberat en l'extracció d'informació personal i financera d'alt valor que pot no estar emmagatzemada en camps de credencials convencionals.

Tècniques d’atac central: superposició i intercepció d’entrada

Un cop actiu, Perseus utilitza tècniques de programari maliciós bancari per a Android ben establertes. Llança atacs superposats per mostrar interfícies fraudulentes sobre aplicacions bancàries i de criptomoneda legítimes, capturant les credencials dels usuaris en temps real. A més, el registre de pulsacions de tecles s'utilitza per interceptar dades d'entrada sensibles a mesura que s'introdueixen.

Operacions de comandament i control: marc de treball de manipulació remota

El programari maliciós es controla mitjançant una infraestructura de comandament i control (C2), que permet als operadors emetre ordres, manipular el comportament del dispositiu i autoritzar transaccions fraudulentes. Les ordres clau compatibles inclouen:

  • Extracció i vigilància de dades (per exemple, captura de notes d'aplicacions com Google Keep, Evernote i Microsoft OneNote)
  • Gestió de sessions remotes mitjançant VNC i HVNC per a la interacció amb la interfície d'usuari en temps real o estructurada
  • Captura de pantalla amb serveis d'accessibilitat
  • Control d'aplicacions, incloent-hi l'inici d'aplicacions o l'eliminació de restriccions
  • Tàctiques d'engany per a l'usuari, com ara superposicions de pantalla negra i silenciament d'àudio
  • Instal·lació forçada des de fonts desconegudes i interaccions simulades d'usuari

Aquest conjunt complet d'ordres permet als atacants mantenir un control persistent i encobert sobre els dispositius compromesos.

Tàctiques d’evasió i consciència ambiental

Perseus incorpora tècniques avançades d'antianàlisi per evadir la detecció. Realitza comprovacions d'entorn exhaustives, com ara la identificació d'eines de depuració, la verificació de la presència de la targeta SIM, l'anàlisi del recompte d'aplicacions instal·lades i la validació de les mètriques de la bateria per confirmar l'execució en un dispositiu real.

El programari maliciós agrega aquestes dades en una "puntuació de sospita", que es transmet al servidor C2. A partir d'aquesta puntuació, els operadors determinen si continuar amb l'explotació o romandre inactiu per evitar ser detectat.

Implicacions estratègiques: eficiència a través de l’evolució

Perseus exemplifica l'evolució contínua del programari maliciós per a Android, on les noves amenaces es basen cada cop més en marcs de treball existents en lloc de desenvolupar-se des de zero. En combinar les capacitats heretades de Cerberus i Phoenix amb millores específiques, com ara la supervisió de notes i un control remot millorat, Perseus aconsegueix un equilibri entre eficiència i innovació.

Aquest enfocament reflecteix una tendència més àmplia en la ciberdelinqüència: la priorització de l'adaptabilitat, l'escalabilitat i l'extracció de dades d'alt valor, cosa que fa que les campanyes de programari maliciós modernes siguin més efectives i difícils de detectar.

Tendència

El vostre compte serà desactivat. Estafa per correu...

Phishing, Correu brossa
Mantenir-se alerta quan es tracta de correus electrònics inesperats és essencial per protegir la informació personal i els comptes en línia. Els ciberdelinqüents sovint disfressen els missatges de phishing com a notificacions urgents per pressionar els destinataris perquè actuïn ràpidament sense verificar la seva autenticitat. L'estafa de correu electrònic "El vostre compte serà desactivat"...

Ledger - S'ha detectat activitat sospitosa a DEX per...

Phishing, Correu brossa
Els correus electrònics inesperats que al·leguen problemes de seguretat urgents sempre s'han de tractar amb precaució. Els ciberdelinqüents sovint suplanten la identitat de marques conegudes per tal de crear pànic i pressionar els destinataris perquè actuïn ràpidament. El correu electrònic anomenat "Ledger - Activitat DEX sospitosa detectada" n'és un exemple. Tot i que sembla que provenen de...

Més vist

Carregant...