Perseuse panganduspahavara
Küberturvalisuse analüütikud on tuvastanud uue Androidi pahavara perekonna, mida tuntakse Perseus Androidi pahavara nime all ja mida aktiivselt kasutatakse seadmete ülevõtmise (DTO) võimaldamiseks ja finantspettuste läbiviimiseks. See oht kujutab endast mobiilse pahavara olulist arengut, ühendades väljakujunenud tehnikad suurema operatiivse paindlikkusega.
Sisukord
Tõestatud pahavara liinide evolutsioon
Perseus on üles ehitatud Cerberuse pahavara ja Phoenixi Androidi pahavara alustele, mis mõlemad on tuntud Androidi pangandustroojad. Esmakordselt dokumenteeriti Cerberus 2019. aasta augustis, kus see kuritarvitas Androidi ligipääsetavuse teenuseid, et laiendada privileege, koguda tundlikke andmeid ja rakendada mandaatide varastamise rünnakuid. Pärast lähtekoodi lekkimist 2020. aastal tekkis mitu selle tuletist, sealhulgas Alien, ERMAC ja Phoenix.
Perseus laiendab Phoenixi koodibaasi, arenedes kohanemisvõimelisemaks ja võimekamaks platvormiks. Sellised näitajad nagu ulatuslik rakendusesisene logimine ja ebatavalised koodiartefaktid viitavad sellele, et ohutegelased võisid arenduse käigus kasutada suurte keelemudelite (LLM) abi.
Nakkusvektor: sotsiaalne manipuleerimine IPTV rakenduste kaudu
Levitamisstrateegia tugineb suuresti sotsiaalsele manipuleerimisele. Perseust levitatakse andmepüügisaitidel majutatud dropper-rakenduste kaudu, mis on sageli maskeeritud IPTV-teenusteks. See lähenemisviis peegeldab Massiv Androidi pahavaraga seotud kampaaniaid, mis on suunatud kasutajatele, kes soovivad volitamata juurdepääsu premium-voogesitussisule.
Pahatahtlike pakettide lisamisega pealtnäha legitiimsetesse IPTV-rakendustesse vähendavad ründajad kasutajate kahtlust ja suurendavad märkimisväärselt nakatumise edukust. Kampaania on peamiselt suunatud kasutajatele mitmes piirkonnas, sealhulgas Türgis, Itaalias, Poolas, Saksamaal, Prantsusmaal, Araabia Ühendemiraatides ja Portugalis.
Pahavara juurutamise ahel ja teadaolevad artefaktid
Perseuse leviku ökosüsteemi osana on tuvastatud mitu rakendust:
- Roja App Directa (com.xcvuc.ocnsxn) – tilgutirakendus
- TvTApp (com.tvtapps.live) – Perseuse peamine kasulik koormus
- PolBox Tv (com.streamview.players) – Teisese koormuse variant
Need rakendused toimivad sisenemispunktidena pahavara installimiseks kahjustatud seadmetesse.
Täiustatud seadme ülevõtmise võimalused
Perseus kasutab Androidi ligipääsetavuse teenuseid kaugseansside loomiseks, võimaldades reaalajas jälgimist ja täpset suhtlust nakatunud seadmetega. See funktsionaalsus võimaldab seadme täielikku ülevõtmist, andes ründajatele ulatusliku kontrolli kasutajategevuse üle.
Erinevalt traditsioonilistest pangandustroojatest läheb Perseus volituste kogumisest kaugemale, jälgides aktiivselt märkmete tegemise rakendusi. See käitumine viitab tahtlikule keskendumisele väärtusliku isiku- ja finantsteabe hankimisele, mida ei pruugita tavapärastes volitusväljades salvestada.
Põhirünnaku tehnikad: ülekate ja sisendi pealtkuulamine
Kui Perseus on aktiivne, kasutab see Androidi panganduse pahavara tuntud tehnikaid. See käivitab pealiskaudseid rünnakuid, et kuvada petturlikke liideseid legitiimsete pangandus- ja krüptovaluutarakenduste kohal, jäädvustades kasutajate volitusi reaalajas. Lisaks kasutatakse klahvivajutuste logimist tundlike sisendandmete pealtkuulamiseks nende sisestamise ajal.
Juhtimis- ja juhtimisoperatsioonid: kaugjuhtimise raamistik
Pahavara kontrollitakse juhtimis- ja kontrolli (C2) infrastruktuuri kaudu, mis võimaldab operaatoritel anda käske, manipuleerida seadme käitumist ja autoriseerida petturlikke tehinguid. Peamised toetatud käsud on järgmised:
- Andmete ekstraheerimine ja jälgimine (nt märkmete jäädvustamine rakendustest nagu Google Keep, Evernote ja Microsoft OneNote)
- Kaugsessioonide haldamine VNC ja HVNC kaudu reaalajas või struktureeritud kasutajaliidese interaktsiooniks
- Ekraanipildi jäädvustamine ligipääsetavuse teenuste abil
- Rakenduste kontroll, sh rakenduste käivitamine või piirangute eemaldamine
- Kasutajate petmise taktikad, näiteks musta ekraani pealekandmine ja heli vaigistamine
- Sunnitud installimine tundmatutest allikatest ja simuleeritud kasutajainteraktsioonid
See ulatuslik käskude komplekt võimaldab ründajatel säilitada püsivat ja varjatut kontrolli ohustatud seadmete üle.
Põgenemistaktika ja keskkonnateadlikkus
Perseus sisaldab täiustatud analüüsivastaseid tehnikaid tuvastamise vältimiseks. See teostab ulatuslikke keskkonnakontrolle, sealhulgas tuvastab veatuvastustööriistu, kontrollib SIM-kaardi olemasolu, analüüsib installitud rakenduste arvu ja valideerib aku mõõdikuid, et kinnitada selle toimimist reaalses seadmes.
Pahavara koondab need andmed „kahtlusskooriks“, mis edastatakse C2-serverile. Selle skoori põhjal otsustavad operaatorid, kas jätkata edasist ärakasutamist või jääda avastamise vältimiseks passiivseks.
Strateegilised tagajärjed: efektiivsus läbi evolutsiooni
Perseus on hea näide Androidi pahavara pidevast arengust, kus uued ohud luuakse üha enam olemasolevatele raamistikele, mitte ei arendata neid nullist. Kombineerides Cerberuse ja Phoenixi päritud võimeid sihipäraste täiustustega, nagu märkmete jälgimine ja täiustatud kaugjuhtimine, saavutab Perseus tasakaalu tõhususe ja innovatsiooni vahel.
See lähenemisviis peegeldab küberkuritegevuse laiemat suundumust: kohanemisvõime, skaleeritavuse ja väärtuslike andmete ekstraheerimise prioriseerimine, mis muudab tänapäevased pahavarakampaaniad tõhusamaks ja raskemini avastatavaks.
