Perseus Banking Malware
Analitičari kibernetičke sigurnosti identificirali su novu obitelj Android zlonamjernog softvera poznatu kao Perseus Android zlonamjerni softver, koji se aktivno koristi kako bi omogućio preuzimanje uređaja (DTO) i izvršavao financijske prijevare. Ova prijetnja predstavlja značajnu evoluciju mobilnog zlonamjernog softvera, kombinirajući utvrđene tehnike s poboljšanom operativnom fleksibilnošću.
Sadržaj
Evolucija iz dokazanih loza zlonamjernog softvera
Perseus je izgrađen na temeljima zlonamjernog softvera Cerberus i zlonamjernog softvera Phoenix za Android, oba dobro poznata trojanca za Android bankarstvo. Prvi put dokumentiran u kolovozu 2019., Cerberus je zloupotrijebio Androidove usluge pristupačnosti kako bi povećao privilegije, prikupio osjetljive podatke i primijenio napade preko sustava za krađu vjerodajnica. Nakon što je njegov izvorni kod procurio 2020. godine, pojavile su se brojne derivative, uključujući Alien, ERMAC i Phoenix.
Perseus proširuje kodnu bazu Phoenixa, razvijajući se u prilagodljiviju i sposobniju platformu. Pokazatelji poput opsežnog evidentiranja u aplikaciji i neobičnih artefakata koda sugeriraju da su akteri prijetnji možda iskoristili pomoć modela velikih jezika (LLM) tijekom razvoja.
Vektor zaraze: Društveni inženjering putem IPTV aplikacija
Strategija distribucije uvelike se oslanja na društveni inženjering. Perseus se isporučuje putem aplikacija za preuzimanje koje se nalaze na phishing web stranicama, često prikrivenim kao IPTV usluge. Ovaj pristup odražava kampanje povezane sa zlonamjernim softverom Massiv za Android, ciljajući korisnike koji traže neovlašteni pristup premium streaming sadržaju.
Ugradnjom zlonamjernog sadržaja unutar naizgled legitimnih IPTV aplikacija, napadači smanjuju sumnju korisnika i značajno povećavaju stopu uspješnosti infekcije. Kampanja je prvenstveno ciljala korisnike u više regija, uključujući Tursku, Italiju, Poljsku, Njemačku, Francusku, Ujedinjene Arapske Emirate i Portugal.
Lanac implementacije zlonamjernog softvera i poznati artefakti
Nekoliko je primjena identificirano kao dio distribucijskog ekosustava Perseusa:
- Roja App Directa (com.xcvuc.ocnsxn) – Dropper aplikacija
- TvTApp (com.tvtapps.live) – Primarni Perseusov teret
- PolBox Tv (com.streamview.players) – varijanta sekundarnog korisnog tereta
Ove aplikacije služe kao ulazne točke za instaliranje zlonamjernog softvera na kompromitirane uređaje.
Napredne mogućnosti preuzimanja uređaja
Perseus koristi Android usluge pristupačnosti za uspostavljanje udaljenih sesija, omogućujući praćenje u stvarnom vremenu i preciznu interakciju sa zaraženim uređajima. Ova funkcionalnost omogućuje potpuno preuzimanje uređaja, dajući napadačima opsežnu kontrolu nad aktivnostima korisnika.
Za razliku od tradicionalnih bankarskih trojanaca, Perseus ide dalje od pukog prikupljanja vjerodajnica aktivnim praćenjem aplikacija za bilježenje. Ovo ponašanje ukazuje na namjerni fokus na izdvajanje visokovrijednih osobnih i financijskih podataka koji se možda ne pohranjuju u konvencionalnim poljima za vjerodajnice.
Tehnike osnovnog napada: Prekrivanje i presretanje ulaza
Nakon što je aktivan, Perseus koristi dobro poznate tehnike zlonamjernog softvera za Android bankarstvo. Pokreće napade slojem kako bi prikazao lažna sučelja preko legitimnih bankarskih i kriptovalutnih aplikacija, bilježeći korisničke vjerodajnice u stvarnom vremenu. Osim toga, bilježenje pritiska tipki koristi se za presretanje osjetljivih ulaznih podataka dok se unose.
Operacije zapovijedanja i upravljanja: Okvir za daljinsku manipulaciju
Zlonamjerni softver kontrolira se putem infrastrukture za upravljanje i kontrolu (C2), što operaterima omogućuje izdavanje naredbi, manipuliranje ponašanjem uređaja i autorizaciju lažnih transakcija. Ključne podržane naredbe uključuju:
- Ekstrakcija podataka i nadzor (npr. snimanje bilješki iz aplikacija poput Google Keepa, Evernotea i Microsoft OneNotea)
- Upravljanje udaljenim sesijama putem VNC-a i HVNC-a za interakciju u stvarnom vremenu ili strukturiranu interakciju putem korisničkog sučelja
- Snimanje zaslona pomoću usluga pristupačnosti
- Kontrola aplikacija, uključujući pokretanje aplikacija ili uklanjanje ograničenja
- Taktike obmane korisnika poput prekrivanja crnog zaslona i isključivanja zvuka
- Prisilna instalacija iz nepoznatih izvora i simulirane interakcije korisnika
Ovaj sveobuhvatni skup naredbi omogućuje napadačima održavanje trajne i prikrivene kontrole nad kompromitiranim uređajima.
Taktike izbjegavanja i svijest o okolišu
Perseus uključuje napredne tehnike anti-analize kako bi izbjegao otkrivanje. Izvodi opsežne provjere okruženja, uključujući identificiranje alata za otklanjanje pogrešaka, provjeru prisutnosti SIM kartice, analizu broja instaliranih aplikacija i validaciju metrike baterije kako bi se potvrdilo izvršavanje na stvarnom uređaju.
Zlonamjerni softver agregira te podatke u 'rezultat sumnje', koji se prenosi na C2 poslužitelj. Na temelju tog rezultata, operateri odlučuju hoće li nastaviti s daljnjim iskorištavanjem ili će ostati neaktivni kako bi izbjegli otkrivanje.
Strateške implikacije: Učinkovitost kroz evoluciju
Perseus primjer je kontinuirane evolucije zlonamjernog softvera za Android, gdje se nove prijetnje sve više grade na postojećim okvirima, a ne razvijaju od nule. Kombiniranjem naslijeđenih mogućnosti Cerberusa i Phoenixa s ciljanim poboljšanjima, poput praćenja bilješki i poboljšanog daljinskog upravljanja, Perseus postiže ravnotežu između učinkovitosti i inovacije.
Ovaj pristup odražava širi trend u kibernetičkom kriminalu: davanje prioriteta prilagodljivosti, skalabilnosti i ekstrakciji visokovrijednih podataka, što moderne kampanje zlonamjernog softvera čini učinkovitijima i težima za otkrivanje.
