הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית לנייד תוכנה זדונית לבנקאות של Perseus

תוכנה זדונית לבנקאות של Perseus

עד Mezo ב-תוכנה זדונית לנייד, טרויאני בנקאי
לתרגם ל:

אנליסטים בתחום אבטחת הסייבר זיהו משפחה חדשה של תוכנות זדוניות לאנדרואיד, המכונה Perseus, שנפרסה באופן פעיל כדי לאפשר השתלטות על מכשירים (DTO) וביצוע הונאה פיננסית. איום זה מייצג התפתחות משמעותית בתחום התוכנות הזדוניות למובייל, המשלבת טכניקות מבוססות עם גמישות תפעולית משופרת.

אבולוציה משושלות תוכנות זדוניות מוכחות

Perseus בנויה על יסודותיהן של תוכנות זדוניות Cerberus ו-Phoenix Android, שתיהן טרויאניות ידועות בבנקאות אנדרואיד. תופעת Cerberus, שתועדה לראשונה באוגוסט 2019, ניצלה לרעה את שירותי הנגישות של אנדרואיד כדי להגדיל את הרשאותיה, לאסוף נתונים רגישים ולפרוס התקפות שכבת-על לצורך גניבת אישורים. לאחר שקוד המקור שלה דלף בשנת 2020, צצו מספר נגזרות, כולל Alien, ERMAC ו-Phoenix.

פרסאוס מרחיבה את בסיס הקוד של פיניקס, ומתפתחת לפלטפורמה גמישה ויכולת יותר. אינדיקטורים כגון רישום נרחב בתוך האפליקציה וארטיפקטים קוד יוצאי דופן מצביעים על כך שגורמי איום עשויים למנף סיוע של מודל שפה גדול (LLM) במהלך הפיתוח.

וקטור זיהום: הנדסה חברתית באמצעות יישומי IPTV

אסטרטגיית ההפצה מסתמכת במידה רבה על הנדסה חברתית. פרסאוס מועבר באמצעות יישומי שחרור נתונים (dropper) הממוקמים באתרי פישינג, שלעתים קרובות מחופשים לשירותי IPTV. גישה זו משקפת קמפיינים הקשורים לתוכנות זדוניות של Massiv Android, המכוונות למשתמשים המחפשים גישה לא מורשית לתוכן סטרימינג פרימיום.

על ידי הטמעת מטענים זדוניים בתוך אפליקציות IPTV שנראות לגיטימיות, תוקפים מפחיתים את חשד המשתמשים ומגדילים משמעותית את שיעורי הצלחת ההדבקה. הקמפיין כיוון בעיקר למשתמשים באזורים מרובים, כולל טורקיה, איטליה, פולין, גרמניה, צרפת, איחוד האמירויות הערביות ופורטוגל.

שרשרת פריסת תוכנות זדוניות וממצאים ידועים

מספר יישומים זוהו כחלק ממערכת האקולוגית של התפוצה של פרסאוס:

  • Roja App Directa (com.xcvuc.ocnsxn) – אפליקציית Dropper
  • TvTApp ‏(com.tvtapps.live) – מטען ראשי של פרסאוס
  • PolBox Tv (com.streamview.players) – גרסת מטען משנית

יישומים אלה משמשים כנקודות כניסה להתקנת תוכנה זדונית על מכשירים שנפגעו.

יכולות מתקדמות של השתלטות על מכשירים

Perseus ממנפת שירותי נגישות של אנדרואיד כדי ליצור הפעלות מרחוק, מה שמאפשר ניטור בזמן אמת ואינטראקציה מדויקת עם מכשירים נגועים. פונקציונליות זו מאפשרת השתלטות מלאה על המכשיר, ומעניקה לתוקפים שליטה נרחבת על פעילות המשתמש.

בניגוד לטרויאנים בנקאיים מסורתיים, Perseus חורג מעבר לאיסוף אישורים על ידי ניטור פעיל של יישומי רישום הערות. התנהגות זו מצביעה על התמקדות מכוונת בחילוץ מידע אישי ופיננסי בעל ערך גבוה שאולי לא מאוחסן בשדות אישורים קונבנציונליים.

טכניקות התקפה מרכזיות: שכבת כיסוי ויירוט קלט

לאחר פעילותה, Perseus משתמשת בטכניקות זדוניות מבוססות לבנקאות אנדרואיד. היא משגרת התקפות שכבת-על כדי להציג ממשקים הונאה על גבי יישומי בנקאות ומטבעות קריפטוגרפיים לגיטימיים, תוך לוכדת פרטי משתמש בזמן אמת. בנוסף, רישום הקשות מקשים משמש ליירוט נתוני קלט רגישים בזמן הזנתם.

פעולות פיקוד ובקרה: מסגרת מניפולציה מרחוק

התוכנה הזדונית נשלטת באמצעות תשתית שליטה ובקרה (C2), המאפשרת למפעילים להוציא פקודות, לתפעל את התנהגות המכשיר ולאשר עסקאות הונאה. פקודות נתמכות עיקריות כוללות:

  • חילוץ ומעקב אחר נתונים (למשל, לכידת הערות מאפליקציות כמו Google Keep, Evernote ו-Microsoft OneNote)
  • ניהול סשנים מרחוק באמצעות VNC ו-HVNC לאינטראקציה בזמן אמת או מובנית בממשק המשתמש
  • צילום מסך באמצעות שירותי נגישות
  • שליטה באפליקציות, כולל הפעלת אפליקציות או הסרת הגבלות
  • טקטיקות הטעיית משתמשים כגון שכבות מסך שחור והשתקת שמע
  • התקנה כפויה ממקורות לא ידועים ואינטראקציות משתמש מדומות

מערך פקודות מקיף זה מאפשר לתוקפים לשמור על שליטה מתמשכת וסמויה על מכשירים שנפרצו.

טקטיקות התחמקות ומודעות סביבתית

Perseus משלבת טכניקות מתקדמות נגד ניתוח נתונים כדי להתחמק מגילוי. היא מבצעת בדיקות סביבה מקיפות, כולל זיהוי כלי ניפוי שגיאות, אימות נוכחות כרטיס SIM, ניתוח ספירת יישומים מותקנים ואימות מדדי סוללה כדי לאשר ביצוע במכשיר אמיתי.

התוכנה הזדונית אוגדת את הנתונים הללו ל'ציון חשד', אשר מועבר לשרת C2. בהתבסס על ציון זה, המפעילים קובעים האם להמשיך בניצול נוסף או להישאר רדומים כדי להימנע מגילוי.

השלכות אסטרטגיות: יעילות באמצעות אבולוציה

פרסאוס מדגימה את האבולוציה המתמשכת של תוכנות זדוניות לאנדרואיד, שבה איומים חדשים נבנים יותר ויותר על גבי מסגרות קיימות במקום מפותחים מאפס. על ידי שילוב יכולות שעברו בירושה מ-Cerberus ו-Phoenix עם שיפורים ממוקדים, כגון ניטור הערות ושליטה מרחוק משופרת, פרסאוס משיגה איזון בין יעילות לחדשנות.

גישה זו משקפת מגמה רחבה יותר בפשעי סייבר: מתן עדיפות ליכולת הסתגלות, יכולת מדרגיות וחילוץ נתונים בעל ערך גבוה, מה שהופך קמפיינים מודרניים של תוכנות זדוניות ליעילים יותר וקשים יותר לגילוי.

מגמות

החשבון שלך יושבת באמצעות הונאת דוא"ל

פישינג, ספאם
שמירה על ערנות בעת התמודדות עם מיילים בלתי צפויים חיונית להגנה על מידע אישי וחשבונות מקוונים. פושעי סייבר מסווים לעתים קרובות הודעות פישינג כהודעות דחופות כדי ללחוץ על הנמענים לפעול במהירות מבלי לאמת את אמיתותן. הונאת הדוא"ל 'החשבון שלך יושבת' היא דוגמה לכך. ניתוח אבטחה מראה שהודעות אלו אינן קשורות לחברות, ארגונים או ספקי שירותי דוא"ל לגיטימיים. במקום זאת, מדובר בהודעות דיוג שנוצרו...

Ledger - זוהתה פעילות חשודה ב-DEX - הונאת דוא"ל

פישינג, ספאם
יש להתייחס תמיד בזהירות לאימיילים בלתי צפויים הטוענים לבעיות אבטחה דחופות. פושעי סייבר מתחזים לעתים קרובות למותגים ידועים כדי ליצור פאניקה וללחוץ על הנמענים לפעול במהירות. האימייל המכונה "Ledger - זוהתה פעילות חשודה ב-DEX" הוא דוגמה לכך. למרות שנראה שההודעות מגיעות מ-Ledger, הן אינן קשורות ליצרן ארנק החומרה הלגיטימי או לכל ארגון אותנטי. במקום זאת, הן חלק מקמפיין פישינג שנועד לגנוב מידע רגיש על...

הכי נצפה

טוען...