Rabattilbud med flere licenser
Trusseldatabase Mobil malware Perseus Banking Malware

Perseus Banking Malware

Med Mezo i Mobil malware, Bank Trojan
Oversæt til:

Cybersikkerhedsanalytikere har identificeret en ny familie af Android-malware kendt som Perseus Android-malware, der aktivt er blevet implementeret i naturen for at muliggøre enhedsovertagelse (DTO) og udføre økonomisk svindel. Denne trussel repræsenterer en betydelig udvikling inden for mobil malware, der kombinerer etablerede teknikker med forbedret operationel fleksibilitet.

Udvikling fra dokumenterede malware-linjer

Perseus er bygget på fundamentet af Cerberus-malware og Phoenix Android-malware, begge velkendte Android-banktrojanere. Cerberus, der først blev dokumenteret i august 2019, misbrugte Androids tilgængelighedstjenester til at eskalere privilegier, indsamle følsomme data og implementere overlay-angreb til tyveri af legitimationsoplysninger. Efter at kildekoden lækkede i 2020, dukkede flere derivater op, herunder Alien, ERMAC og Phoenix.

Perseus udvider Phoenix-kodebasen og udvikler sig til en mere tilpasningsdygtig og kapabel platform. Indikatorer som omfattende logføring i appen og usædvanlige kodeartefakter tyder på, at trusselsaktører muligvis har udnyttet assistance fra store sprogmodeller (LLM) under udviklingen.

Infektionsvektor: Social manipulation via IPTV-applikationer

Distributionsstrategien er i høj grad baseret på social engineering. Perseus leveres via dropper-applikationer, der hostes på phishing-websteder, ofte forklædt som IPTV-tjenester. Denne tilgang afspejler kampagner forbundet med Massiv Android-malware, der er rettet mod brugere, der søger uautoriseret adgang til premium streamingindhold.

Ved at integrere ondsindede data i tilsyneladende legitime IPTV-apps reducerer angriberne brugernes mistanke og øger succesraterne for infektioner betydeligt. Kampagnen har primært rettet sig mod brugere i flere regioner, herunder Tyrkiet, Italien, Polen, Tyskland, Frankrig, De Forenede Arabiske Emirater og Portugal.

Malware-implementeringskæde og kendte artefakter

Flere anvendelser er blevet identificeret som en del af Perseus-distributionsøkosystemet:

  • Roja App Directa (com.xcvuc.ocnsxn) – Dropper-applikation
  • TvTApp (com.tvtapps.live) – Primær Perseus-nyttelast
  • PolBox Tv (com.streamview.players) – Sekundær nyttelastvariant

Disse applikationer fungerer som indgangspunkter til installation af malware på kompromitterede enheder.

Avancerede enhedsovertagelsesfunktioner

Perseus udnytter Android-tilgængelighedstjenester til at etablere fjernsessioner, hvilket muliggør overvågning i realtid og præcis interaktion med inficerede enheder. Denne funktionalitet muliggør fuld enhedsovertagelse, hvilket giver angribere omfattende kontrol over brugeraktivitet.

I modsætning til traditionelle banktrojanere går Perseus ud over at indsamle legitimationsoplysninger ved aktivt at overvåge notetagningsprogrammer. Denne adfærd indikerer et bevidst fokus på at udtrække værdifulde personlige og økonomiske oplysninger, der muligvis ikke gemmes i konventionelle legitimationsoplysninger.

Kerneangrebsteknikker: Overlay og inputinterception

Når Perseus er aktiv, anvender den veletablerede teknikker til Android-bankmalware. Den udfører overlay-angreb for at vise falske grænseflader oven på legitime bank- og kryptovalutaapplikationer og indsamler brugeroplysninger i realtid. Derudover bruges tastetryklogning til at opfange følsomme inputdata, når de indtastes.

Kommando- og kontroloperationer: Ramme for fjernmanipulation

Malwaren kontrolleres via en kommando-og-kontrol (C2) infrastruktur, der giver operatører mulighed for at udstede kommandoer, manipulere enhedens adfærd og godkende svigagtige transaktioner. Vigtige understøttede kommandoer inkluderer:

  • Dataudtrækning og overvågning (f.eks. indsamling af noter fra apps som Google Keep, Evernote og Microsoft OneNote)
  • Fjernstyring af sessioner via VNC og HVNC til interaktion i realtid eller struktureret brugergrænseflade
  • Skærmbilledeoptagelse ved hjælp af tilgængelighedstjenester
  • Programstyring, herunder start af apps eller fjernelse af begrænsninger
  • Brugerbedragstaktikker såsom sorte skærmoverlejringer og lyddæmpning
  • Tvungen installation fra ukendte kilder og simulerede brugerinteraktioner

Dette omfattende kommandosæt gør det muligt for angribere at opretholde vedvarende og skjult kontrol over kompromitterede enheder.

Undvigelsestaktikker og miljøbevidsthed

Perseus inkorporerer avancerede anti-analyseteknikker for at undgå detektion. Den udfører omfattende miljøkontroller, herunder identifikation af fejlfindingsværktøjer, verifikation af SIM-korts tilstedeværelse, analyse af antallet af installerede applikationer og validering af batterimålinger for at bekræfte udførelse på en rigtig enhed.

Malwaren samler disse data til en 'mistankescore', som sendes til C2-serveren. Baseret på denne score afgør operatørerne, om de skal fortsætte med yderligere udnyttelse eller forblive inaktive for at undgå opdagelse.

Strategiske implikationer: Effektivitet gennem udvikling

Perseus er et eksempel på den løbende udvikling af Android-malware, hvor nye trusler i stigende grad bygges på eksisterende frameworks i stedet for at udvikles fra bunden. Ved at kombinere nedarvede funktioner fra Cerberus og Phoenix med målrettede forbedringer, såsom noteovervågning og forbedret fjernbetjening, opnår Perseus en balance mellem effektivitet og innovation.

Denne tilgang afspejler en bredere tendens inden for cyberkriminalitet: prioritering af tilpasningsevne, skalerbarhed og dataudtrækning af høj værdi, hvilket gør moderne malwarekampagner mere effektive og sværere at opdage.

Trending

Mest sete

Indlæser...