Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Κακόβουλο λογισμικό τραπεζικών συναλλαγών Perseus

Κακόβουλο λογισμικό τραπεζικών συναλλαγών Perseus

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Τραπεζικός Trojan
Μετάφραση σε:

Οι αναλυτές κυβερνοασφάλειας έχουν εντοπίσει μια νέα οικογένεια κακόβουλου λογισμικού για Android, γνωστή ως κακόβουλο λογισμικό Perseus Android, το οποίο αναπτύσσεται ενεργά για να επιτρέπει την κατάληψη συσκευών (DTO) και να εκτελεί οικονομικές απάτες. Αυτή η απειλή αντιπροσωπεύει μια σημαντική εξέλιξη στο κακόβουλο λογισμικό για κινητά, συνδυάζοντας καθιερωμένες τεχνικές με βελτιωμένη λειτουργική ευελιξία.

Εξέλιξη από αποδεδειγμένες γενεαλογίες κακόβουλου λογισμικού

Το Perseus βασίζεται στα θεμέλια του κακόβουλου λογισμικού Cerberus και του κακόβουλου λογισμικού Phoenix Android, και τα δύο γνωστά trojan τραπεζικών προγραμμάτων Android. Καταγράφηκε για πρώτη φορά τον Αύγουστο του 2019, όπου το Cerberus καταχράστηκε τις υπηρεσίες προσβασιμότητας του Android για να κλιμακώσει προνόμια, να συλλέξει ευαίσθητα δεδομένα και να αναπτύξει επιθέσεις επικάλυψης για κλοπή διαπιστευτηρίων. Μετά τη διαρροή του πηγαίου κώδικά του το 2020, εμφανίστηκαν πολλά παράγωγα, συμπεριλαμβανομένων των Alien, ERMAC και Phoenix.

Το Perseus επεκτείνει τον κώδικα του Phoenix, εξελισσόμενο σε μια πιο προσαρμόσιμη και ικανή πλατφόρμα. Δείκτες όπως η εκτεταμένη καταγραφή εντός εφαρμογής και τα ασυνήθιστα αντικείμενα κώδικα υποδηλώνουν ότι οι απειλητικοί παράγοντες ενδέχεται να έχουν αξιοποιήσει την υποστήριξη μεγάλων γλωσσικών μοντέλων (LLM) κατά την ανάπτυξη.

Φορέας Μόλυνσης: Κοινωνική Μηχανική μέσω Εφαρμογών IPTV

Η στρατηγική διανομής βασίζεται σε μεγάλο βαθμό στην κοινωνική μηχανική. Το Perseus παρέχεται μέσω εφαρμογών dropper που φιλοξενούνται σε ιστότοπους ηλεκτρονικού "ψαρέματος" (phishing), συχνά μεταμφιεσμένες ως υπηρεσίες IPTV. Αυτή η προσέγγιση αντικατοπτρίζει καμπάνιες που σχετίζονται με το κακόβουλο λογισμικό Massiv Android, στοχεύοντας χρήστες που αναζητούν μη εξουσιοδοτημένη πρόσβαση σε περιεχόμενο premium streaming.

Ενσωματώνοντας κακόβουλα φορτία σε φαινομενικά νόμιμες εφαρμογές IPTV, οι εισβολείς μειώνουν την υποψία των χρηστών και αυξάνουν σημαντικά τα ποσοστά επιτυχίας μόλυνσης. Η εκστρατεία έχει στοχεύσει κυρίως χρήστες σε πολλές περιοχές, όπως η Τουρκία, η Ιταλία, η Πολωνία, η Γερμανία, η Γαλλία, τα Ηνωμένα Αραβικά Εμιράτα και η Πορτογαλία.

Αλυσίδα ανάπτυξης κακόβουλου λογισμικού και γνωστά τεχνουργήματα

Αρκετές εφαρμογές έχουν εντοπιστεί ως μέρος του οικοσυστήματος διανομής του Perseus:

  • Roja App Directa (com.xcvuc.ocnsxn) – Εφαρμογή Dropper
  • TvTApp (com.tvtapps.live) – Κύριο ωφέλιμο φορτίο Perseus
  • PolBox Tv (com.streamview.players) – Δευτερεύουσα παραλλαγή ωφέλιμου φορτίου

Αυτές οι εφαρμογές χρησιμεύουν ως σημεία εισόδου για την εγκατάσταση του κακόβουλου λογισμικού σε συσκευές που έχουν παραβιαστεί.

Προηγμένες δυνατότητες ανάληψης συσκευών

Το Perseus αξιοποιεί τις υπηρεσίες προσβασιμότητας Android για τη δημιουργία απομακρυσμένων συνεδριών, επιτρέποντας την παρακολούθηση σε πραγματικό χρόνο και την ακριβή αλληλεπίδραση με μολυσμένες συσκευές. Αυτή η λειτουργικότητα επιτρέπει την πλήρη κατάληψη της συσκευής, παρέχοντας στους εισβολείς εκτεταμένο έλεγχο της δραστηριότητας των χρηστών.

Σε αντίθεση με τα παραδοσιακά τραπεζικά trojan, το Perseus ξεπερνά την απλή συλλογή διαπιστευτηρίων, παρακολουθώντας ενεργά τις εφαρμογές λήψης σημειώσεων. Αυτή η συμπεριφορά υποδηλώνει μια σκόπιμη εστίαση στην εξαγωγή προσωπικών και οικονομικών πληροφοριών υψηλής αξίας που ενδέχεται να μην αποθηκεύονται σε συμβατικά πεδία διαπιστευτηρίων.

Τεχνικές Βασικής Επίθεσης: Επικάλυψη και Αναχαίτιση Εισόδου

Μόλις ενεργοποιηθεί, το Perseus χρησιμοποιεί καθιερωμένες τεχνικές κακόβουλου λογισμικού για τραπεζικές εφαρμογές Android. Εκτοξεύει επιθέσεις επικάλυψης για να εμφανίζει δόλιες διεπαφές σε νόμιμες τραπεζικές εφαρμογές και εφαρμογές κρυπτονομισμάτων, καταγράφοντας τα διαπιστευτήρια των χρηστών σε πραγματικό χρόνο. Επιπλέον, η καταγραφή πληκτρολόγησης χρησιμοποιείται για την υποκλοπή ευαίσθητων δεδομένων εισόδου καθώς αυτά εισάγονται.

Λειτουργίες Διοίκησης και Ελέγχου: Πλαίσιο Χειρισμού από Απόσταση

Το κακόβουλο λογισμικό ελέγχεται μέσω μιας υποδομής εντολών και ελέγχου (C2), επιτρέποντας στους χειριστές να εκδίδουν εντολές, να χειραγωγούν τη συμπεριφορά της συσκευής και να εξουσιοδοτούν δόλιες συναλλαγές. Οι βασικές υποστηριζόμενες εντολές περιλαμβάνουν:

  • Εξαγωγή και παρακολούθηση δεδομένων (π.χ., λήψη σημειώσεων από εφαρμογές όπως το Google Keep, το Evernote και το Microsoft OneNote)
  • Απομακρυσμένη διαχείριση συνεδριών μέσω VNC και HVNC για αλληλεπίδραση σε πραγματικό χρόνο ή δομημένη διεπαφή χρήστη
  • Λήψη στιγμιότυπου οθόνης χρησιμοποιώντας υπηρεσίες προσβασιμότητας
  • Έλεγχος εφαρμογών, συμπεριλαμβανομένης της εκκίνησης εφαρμογών ή της άρσης περιορισμών
  • Τακτικές εξαπάτησης χρηστών, όπως επικαλύψεις μαύρης οθόνης και σίγαση ήχου
  • Αναγκαστική εγκατάσταση από άγνωστες πηγές και προσομοιωμένες αλληλεπιδράσεις χρηστών

Αυτό το ολοκληρωμένο σύνολο εντολών επιτρέπει στους εισβολείς να διατηρούν διαρκή και μυστικό έλεγχο επί των παραβιασμένων συσκευών.

Τακτικές Διαφυγής και Περιβαλλοντική Ευαισθητοποίηση

Το Perseus ενσωματώνει προηγμένες τεχνικές anti-analysis για να αποφεύγει τον εντοπισμό. Εκτελεί εκτεταμένους ελέγχους περιβάλλοντος, όπως εντοπισμό εργαλείων εντοπισμού σφαλμάτων, επαλήθευση της παρουσίας κάρτας SIM, ανάλυση του αριθμού των εγκατεστημένων εφαρμογών και επικύρωση μετρήσεων μπαταρίας για την επιβεβαίωση της εκτέλεσης σε μια πραγματική συσκευή.

Το κακόβουλο λογισμικό συγκεντρώνει αυτά τα δεδομένα σε μια «βαθμολογία υποψίας», η οποία μεταδίδεται στον διακομιστή C2. Με βάση αυτήν τη βαθμολογία, οι χειριστές αποφασίζουν εάν θα προχωρήσουν σε περαιτέρω εκμετάλλευση ή θα παραμείνουν αδρανείς για να αποφύγουν την ανίχνευση.

Στρατηγικές επιπτώσεις: Αποδοτικότητα μέσω της εξέλιξης

Το Perseus αποτελεί παράδειγμα της συνεχιζόμενης εξέλιξης του κακόβουλου λογισμικού για Android, όπου οι νέες απειλές βασίζονται όλο και περισσότερο σε υπάρχοντα frameworks αντί να αναπτύσσονται από την αρχή. Συνδυάζοντας δυνατότητες που έχουν κληρονομηθεί από το Cerberus και το Phoenix με στοχευμένες βελτιώσεις, όπως η παρακολούθηση σημειώσεων και ο βελτιωμένος τηλεχειρισμός, το Perseus επιτυγχάνει μια ισορροπία μεταξύ αποτελεσματικότητας και καινοτομίας.

Αυτή η προσέγγιση αντικατοπτρίζει μια ευρύτερη τάση στο κυβερνοέγκλημα: την ιεράρχηση της προσαρμοστικότητας, της επεκτασιμότητας και της εξαγωγής δεδομένων υψηλής αξίας, καθιστώντας τις σύγχρονες καμπάνιες κακόβουλου λογισμικού πιο αποτελεσματικές και πιο δύσκολο να εντοπιστούν.

Τάσεις

Ο λογαριασμός σας θα απενεργοποιηθεί - Απάτη μέσω email

Phishing, Ανεπιθύμητη αλληλογραφία
Η επαγρύπνηση κατά την αντιμετώπιση απροσδόκητων email είναι απαραίτητη για την προστασία των προσωπικών πληροφοριών και των ηλεκτρονικών λογαριασμών. Οι κυβερνοεγκληματίες συχνά μεταμφιέζουν τα μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) ως επείγουσες ειδοποιήσεις για να πιέσουν τους παραλήπτες να ενεργήσουν γρήγορα χωρίς να επαληθεύσουν την αυθεντικότητά τους. Η απάτη μέσω email με τίτλο "Ο...

Ledger - Εντοπίστηκε ύποπτη δραστηριότητα DEX -...

Phishing, Ανεπιθύμητη αλληλογραφία
Τα μη αναμενόμενα email που ισχυρίζονται επείγοντα ζητήματα ασφαλείας θα πρέπει πάντα να αντιμετωπίζονται με προσοχή. Οι κυβερνοεγκληματίες συχνά μιμούνται γνωστές μάρκες προκειμένου να προκαλέσουν πανικό και να πιέσουν τους παραλήπτες να ενεργήσουν γρήγορα. Το λεγόμενο email «Ledger - Εντοπίστηκε ύποπτη δραστηριότητα DEX» είναι ένα τέτοιο παράδειγμα. Παρά το γεγονός ότι φαίνεται να προέρχονται...

Περισσότερες εμφανίσεις

Φόρτωση...