Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware Malware pro bankovnictví Perseus

Malware pro bankovnictví Perseus

V roce Mezo v roce Mobilní malware, Bankovní Trojan
Přeložit do:

Analytici kybernetické bezpečnosti identifikovali novou rodinu malwaru pro Android, známou jako Perseus Android, která se aktivně používá k umožňování převzetí kontroly nad zařízeními (DTO) a provádění finančních podvodů. Tato hrozba představuje významný vývoj v oblasti mobilního malwaru a kombinuje zavedené techniky se zvýšenou provozní flexibilitou.

Vývoj z osvědčených linií malwaru

Perseus je postaven na základech malwaru Cerberus a malwaru Phoenix pro Android, obou známých bankovních trojských koní pro Android. Cerberus, poprvé zdokumentovaný v srpnu 2019, zneužíval služby přístupnosti systému Android k eskalaci oprávnění, shromažďování citlivých dat a nasazení překryvných útoků za účelem krádeže přihlašovacích údajů. Po úniku zdrojového kódu v roce 2020 se objevilo několik jeho derivátů, včetně Alien, ERMAC a Phoenix.

Perseus rozšiřuje kódovou základnu Phoenixu a vyvíjí se v přizpůsobivější a výkonnější platformu. Indikátory, jako je rozsáhlé protokolování v aplikaci a neobvyklé artefakty kódu, naznačují, že útočníci mohli během vývoje využít asistenci modelů velkých jazyků (LLM).

Vektor infekce: Sociální inženýrství prostřednictvím IPTV aplikací

Distribuční strategie se silně opírá o sociální inženýrství. Perseus je distribuován prostřednictvím aplikací typu dropper hostovaných na phishingových webových stránkách, často maskovaných jako IPTV služby. Tento přístup odráží kampaně spojené s malwarem Massiv pro Android a cílí na uživatele, kteří hledají neoprávněný přístup k prémiovému streamovanému obsahu.

Vkládáním škodlivých dat do zdánlivě legitimních IPTV aplikací útočníci snižují podezřívavost uživatelů a výrazně zvyšují míru úspěšnosti infekce. Kampaň se primárně zaměřila na uživatele v několika regionech, včetně Turecka, Itálie, Polska, Německa, Francie, Spojených arabských emirátů a Portugalska.

Řetězec nasazení malwaru a známé artefakty

Jako součást distribučního ekosystému Perseus bylo identifikováno několik aplikací:

  • Roja App Directa (com.xcvuc.ocnsxn) – Aplikace Dropper
  • TvTApp (com.tvtapps.live) – Primární užitečné zatížení Perseus
  • PolBox Tv (com.streamview.players) – varianta sekundárního užitečného zatížení

Tyto aplikace slouží jako vstupní body pro instalaci malwaru na napadená zařízení.

Pokročilé možnosti převzetí zařízení

Perseus využívá služby usnadnění přístupu Androidu k navazování vzdálených relací, což umožňuje monitorování v reálném čase a přesnou interakci s infikovanými zařízeními. Tato funkce umožňuje úplné převzetí kontroly nad zařízením a útočníkům poskytuje rozsáhlou kontrolu nad aktivitou uživatelů.

Na rozdíl od tradičních bankovních trojských koní jde Perseus nad rámec pouhého sběru přihlašovacích údajů aktivním sledováním aplikací pro psaní poznámek. Toto chování naznačuje záměrné zaměření na extrakci cenných osobních a finančních informací, které nemusí být uloženy v konvenčních polích pro přihlašovací údaje.

Techniky základního útoku: Překrytí a zachycení vstupu

Jakmile je Perseus aktivní, využívá zavedené techniky malwaru pro bankovnictví v systému Android. Spouští překryvné útoky, které zobrazují podvodná rozhraní přes legitimní bankovní a kryptoměnové aplikace a v reálném čase zaznamenávají přihlašovací údaje uživatelů. Kromě toho se používá protokolování stisknutí kláves k zachycení citlivých vstupních dat při jejich zadávání.

Operace velení a řízení: Rámec pro vzdálenou manipulaci

Malware je řízen prostřednictvím infrastruktury velení a řízení (C2), která umožňuje operátorům vydávat příkazy, manipulovat s chováním zařízení a autorizovat podvodné transakce. Mezi klíčové podporované příkazy patří:

  • Extrakce dat a sledování (např. zachycování poznámek z aplikací jako Google Keep, Evernote a Microsoft OneNote)
  • Vzdálená správa relací přes VNC a HVNC pro interakci v reálném čase nebo strukturovanou interakci s uživatelským rozhraním
  • Pořízení snímku obrazovky pomocí služeb přístupnosti
  • Ovládání aplikací, včetně spouštění aplikací nebo odstraňování omezení
  • Taktiky klamání uživatelů, jako jsou překrytí černé obrazovky a ztlumení zvuku
  • Vynucená instalace z neznámých zdrojů a simulované interakce uživatelů

Tato komplexní sada příkazů umožňuje útočníkům udržovat trvalou a skrytou kontrolu nad napadenými zařízeními.

Taktika úhybných manévrů a povědomí o prostředí

Perseus využívá pokročilé techniky antianalýzy, aby se vyhnul detekci. Provádí rozsáhlé kontroly prostředí, včetně identifikace ladicích nástrojů, ověřování přítomnosti SIM karty, analýzy počtu nainstalovaných aplikací a ověřování metrik baterie pro potvrzení spuštění na reálném zařízení.

Malware agreguje tato data do „skóre podezření“, které je přeneseno na server C2. Na základě tohoto skóre operátoři rozhodnou, zda pokračovat v dalším zneužívání, nebo zda zůstat neaktivní, aby se vyhnuli odhalení.

Strategické důsledky: Efektivita prostřednictvím evoluce

Perseus je příkladem probíhajícího vývoje malwaru pro Android, kde nové hrozby jsou stále častěji stavěny na stávajících frameworkech, spíše než aby byly vyvíjeny od nuly. Kombinací zděděných funkcí od Cerberusu a Phoenixu s cílenými vylepšeními, jako je sledování poznámek a vylepšené dálkové ovládání, dosahuje Perseus rovnováhy mezi efektivitou a inovací.

Tento přístup odráží širší trend v kyberkriminalitě: upřednostňování adaptability, škálovatelnosti a extrakce vysoce hodnotných dat, což zefektivňuje a těžší je odhalit moderní malwarové kampaně.

Trendy

Váš účet bude deaktivován kvůli e-mailovému podvodu

Phishing, Spam
Pro ochranu osobních údajů a online účtů je nezbytné zůstat ostražitý při řešení neočekávaných e-mailů. Kyberzločinci často maskují phishingové zprávy jako naléhavá oznámení, aby donutili příjemce k rychlé reakci, aniž by ověřili jejich pravost. Jedním z takových příkladů je e-mailový podvod s názvem „Váš účet bude deaktivován“. Bezpečnostní analýza ukazuje, že tyto zprávy nejsou spojeny s...

Ledger - Detekce podezřelé aktivity na DEX -...

Phishing, Spam
Neočekávané e-maily, které tvrdí naléhavé bezpečnostní problémy, by měly být vždy brány s opatrností. Kyberzločinci se často vydávají za známé značky, aby vyvolali paniku a donutili příjemce k rychlému jednání. Jedním z takových příkladů je tzv. e-mail s názvem „Ledger - Zjištěna podezřelá aktivita na DEX“. Přestože se zdá, že zprávy pocházejí od Ledgeru, nejsou spojeny s legitimním výrobcem...

Nejvíce shlédnuto

Načítání...