بدافزار بانکی Perseus

تحلیلگران امنیت سایبری یک خانواده بدافزار اندرویدی جدید به نام Perseus را شناسایی کرده‌اند که به طور فعال در سطح اینترنت برای فعال کردن کنترل دستگاه (DTO) و انجام کلاهبرداری مالی مستقر شده است. این تهدید نشان‌دهنده یک تکامل قابل توجه در بدافزارهای موبایل است که تکنیک‌های تثبیت‌شده را با انعطاف‌پذیری عملیاتی افزایش‌یافته ترکیب می‌کند.

تکامل از دودمان‌های بدافزار اثبات‌شده

Perseus بر پایه بدافزار Cerberus و بدافزار اندروید Phoenix ساخته شده است که هر دو تروجان‌های بانکی اندروید شناخته‌شده‌ای هستند. Cerberus که اولین بار در آگوست ۲۰۱۹ مستند شد، از سرویس‌های دسترسی اندروید برای افزایش امتیازات، جمع‌آوری داده‌های حساس و اجرای حملات همپوشانی برای سرقت اعتبارنامه‌ها سوءاستفاده می‌کرد. پس از افشای کد منبع آن در سال ۲۰۲۰، مشتقات متعددی از جمله Alien، ERMAC و Phoenix پدیدار شدند.

Perseus کدبیس Phoenix را گسترش می‌دهد و به پلتفرمی سازگارتر و توانمندتر تبدیل می‌شود. شاخص‌هایی مانند ثبت وقایع گسترده درون برنامه‌ای و مصنوعات غیرمعمول کد نشان می‌دهد که عاملان تهدید ممکن است در طول توسعه از کمک مدل زبان بزرگ (LLM) استفاده کرده باشند.

مسیر آلودگی: مهندسی اجتماعی از طریق برنامه‌های IPTV

استراتژی توزیع به شدت به مهندسی اجتماعی متکی است. Perseus از طریق برنامه‌های کاربردی dropper که در وب‌سایت‌های فیشینگ میزبانی می‌شوند و اغلب خود را به عنوان سرویس‌های IPTV پنهان می‌کنند، توزیع می‌شود. این رویکرد، کمپین‌های مرتبط با بدافزار Massiv اندروید را منعکس می‌کند و کاربرانی را که به دنبال دسترسی غیرمجاز به محتوای پخش پریمیوم هستند، هدف قرار می‌دهد.

مهاجمان با جاسازی بارهای مخرب در برنامه‌های IPTV به ظاهر قانونی، سوءظن کاربران را کاهش داده و میزان موفقیت آلودگی را به میزان قابل توجهی افزایش می‌دهند. این کمپین در درجه اول کاربران را در مناطق مختلف از جمله ترکیه، ایتالیا، لهستان، آلمان، فرانسه، امارات متحده عربی و پرتغال هدف قرار داده است.

زنجیره استقرار بدافزار و مصنوعات شناخته شده

چندین برنامه به عنوان بخشی از اکوسیستم توزیع Perseus شناسایی شده‌اند:

• Roja App Directa (com.xcvuc.ocnsxn) – برنامه Dropper
• TvTApp (com.tvtapps.live) – بار داده اولیه Perseus
• PolBox Tv (com.streamview.players) – نوع ثانویه‌ی بدافزار

این برنامه‌ها به عنوان نقاط ورودی برای نصب بدافزار روی دستگاه‌های آسیب‌دیده عمل می‌کنند.

قابلیت‌های پیشرفته تصاحب دستگاه

Perseus از سرویس‌های دسترسی اندروید برای ایجاد جلسات از راه دور استفاده می‌کند و امکان نظارت بلادرنگ و تعامل دقیق با دستگاه‌های آلوده را فراهم می‌کند. این قابلیت امکان تصاحب کامل دستگاه را فراهم می‌کند و به مهاجمان کنترل گسترده‌ای بر فعالیت کاربر می‌دهد.

برخلاف تروجان‌های بانکی سنتی، Perseus با نظارت فعال بر برنامه‌های یادداشت‌برداری، فراتر از برداشت اعتبارنامه عمل می‌کند. این رفتار نشان‌دهنده تمرکز عمدی بر استخراج اطلاعات شخصی و مالی با ارزش بالا است که ممکن است در فیلدهای اعتبارنامه مرسوم ذخیره نشوند.

تکنیک‌های حمله هسته: همپوشانی و رهگیری ورودی

پس از فعال شدن، Perseus از تکنیک‌های شناخته‌شده‌ی بدافزارهای بانکی اندروید استفاده می‌کند. این بدافزار حملات همپوشانی را برای نمایش رابط‌های جعلی روی برنامه‌های بانکی قانونی و ارزهای دیجیتال انجام می‌دهد و اعتبارنامه‌های کاربر را در لحظه ثبت می‌کند. علاوه بر این، از ثبت ضربات کلید برای رهگیری داده‌های ورودی حساس هنگام ورود استفاده می‌کند.

عملیات فرماندهی و کنترل: چارچوب دستکاری از راه دور

این بدافزار از طریق زیرساخت فرمان و کنترل (C2) کنترل می‌شود و به اپراتورها اجازه می‌دهد تا دستوراتی را صادر کنند، رفتار دستگاه را دستکاری کنند و تراکنش‌های جعلی را مجاز کنند. دستورات کلیدی پشتیبانی شده عبارتند از:

• استخراج و نظارت بر داده‌ها (مثلاً ضبط یادداشت‌ها از برنامه‌هایی مانند Google Keep، Evernote و Microsoft OneNote)
• مدیریت جلسات از راه دور از طریق VNC و HVNC برای تعامل بلادرنگ یا ساختاریافته با رابط کاربری
• ضبط اسکرین‌شات با استفاده از سرویس‌های دسترسی
• کنترل برنامه، شامل اجرای برنامه‌ها یا حذف محدودیت‌ها
• تاکتیک‌های فریب کاربر مانند پوشش‌های سیاه روی صفحه و قطع صدا
• نصب اجباری از منابع ناشناخته و تعاملات کاربری شبیه‌سازی‌شده

این مجموعه دستورات جامع، مهاجمان را قادر می‌سازد تا کنترل مداوم و پنهانی بر روی دستگاه‌های آسیب‌دیده داشته باشند.

تاکتیک‌های فرار و آگاهی از محیط زیست

Perseus از تکنیک‌های پیشرفته‌ی ضدتحلیل برای جلوگیری از شناسایی استفاده می‌کند. این بدافزار بررسی‌های محیطی گسترده‌ای از جمله شناسایی ابزارهای اشکال‌زدایی، تأیید وجود سیم‌کارت، تجزیه و تحلیل تعداد برنامه‌های نصب‌شده و اعتبارسنجی معیارهای باتری برای تأیید اجرا بر روی یک دستگاه واقعی را انجام می‌دهد.

این بدافزار این داده‌ها را در قالب یک «نمره سوءظن» جمع‌آوری می‌کند که به سرور C2 منتقل می‌شود. بر اساس این نمره، اپراتورها تصمیم می‌گیرند که آیا به بهره‌برداری بیشتر ادامه دهند یا برای جلوگیری از شناسایی، غیرفعال باقی بمانند.

پیامدهای استراتژیک: بهره‌وری از طریق تکامل

Perseus نمونه‌ای از تکامل مداوم بدافزارهای اندرویدی است، جایی که تهدیدهای جدید به طور فزاینده‌ای بر اساس چارچوب‌های موجود ساخته می‌شوند تا اینکه از ابتدا توسعه داده شوند. با ترکیب قابلیت‌های به ارث رسیده از Cerberus و Phoenix با پیشرفت‌های هدفمند، مانند نظارت بر یادداشت‌ها و کنترل از راه دور بهبود یافته، Perseus به تعادلی بین کارایی و نوآوری دست می‌یابد.

این رویکرد، روند گسترده‌تری را در جرایم سایبری منعکس می‌کند: اولویت‌بندی سازگاری، مقیاس‌پذیری و استخراج داده‌های ارزشمند، که باعث می‌شود کمپین‌های بدافزار مدرن مؤثرتر و تشخیص آنها دشوارتر شود.