Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program Perseus banki kártevő

Perseus banki kártevő

Mezo -ra Mobil rosszindulatú program, Banki trójai-ben
Fordítás ide:

Kiberbiztonsági elemzők azonosítottak egy új Android kártevőcsaládot, a Perseus Android kártevőt, amely aktívan telepítve van az eszközök átvételének (DTO) lehetővé tételére és pénzügyi csalások végrehajtására. Ez a fenyegetés jelentős evolúciót képvisel a mobil kártevők terén, ötvözve a bevett technikákat a fokozott működési rugalmassággal.

Evolúció a bizonyítottan rosszindulatú programokból

A Perseus a Cerberus és a Phoenix Android kártevők alapjaira épül, amelyek mindkettő jól ismert Android banki trójai vírus. A Cerberus, amelyet először 2019 augusztusában dokumentáltak, az Android akadálymentesítési szolgáltatásainak kihasználásával próbált jogosultságokat szerezni, érzékeny adatokat gyűjteni, és átfedési támadásokat telepíteni hitelesítő adatok ellopására. Miután a forráskódja 2020-ban kiszivárgott, számos származéka született, köztük az Alien, az ERMAC és a Phoenix.

A Perseus kiterjeszti a Phoenix kódbázisát, egy alkalmazkodóképesebb és hatékonyabb platformmá fejlődve. Az olyan mutatók, mint a kiterjedt alkalmazáson belüli naplózás és a szokatlan kódhibák, arra utalnak, hogy a fenyegetéseket elkövető szereplők a fejlesztés során kihasználhatták a nagy nyelvi modellek (LLM) segítségét.

Fertőzésvektor: Szociális manipuláció IPTV alkalmazásokon keresztül

A terjesztési stratégia nagymértékben a társadalmi manipulációra épül. A Perseust adathalász weboldalakon tárolt dropper alkalmazásokon keresztül terjesztik, gyakran IPTV-szolgáltatásként álcázva. Ez a megközelítés a Massiv Android rosszindulatú programhoz kapcsolódó kampányokat tükrözi, amelyek a prémium streaming tartalmakhoz jogosulatlan hozzáférést kérő felhasználókat célozzák meg.

A támadók a látszólag legitim IPTV alkalmazásokba ágyazott rosszindulatú fájlok révén csökkentik a felhasználók gyanúját, és jelentősen növelik a fertőzések sikerességi arányát. A kampány elsősorban több régióban, többek között Törökországban, Olaszországban, Lengyelországban, Németországban, Franciaországban, az Egyesült Arab Emírségekben és Portugáliában élő felhasználókat célzott meg.

Kártevő telepítési lánc és ismert összetevők

Számos alkalmazást azonosítottak a Perseus elterjedési ökoszisztéma részeként:

  • Roja App Directa (com.xcvuc.ocnsxn) – Cseppentő alkalmazás
  • TvTApp (com.tvtapps.live) – Elsődleges Perseus hasznos adat
  • PolBox Tv (com.streamview.players) – Másodlagos hasznos teher változat

Ezek az alkalmazások belépési pontként szolgálnak a rosszindulatú programok telepítéséhez a feltört eszközökre.

Fejlett eszközátvételi képességek

A Perseus az Android akadálymentesítési szolgáltatásait használja ki távoli munkamenetek létrehozására, lehetővé téve a valós idejű megfigyelést és a fertőzött eszközökkel való precíz interakciót. Ez a funkció lehetővé teszi az eszközök teljes átvételét, széleskörű kontrollt biztosítva a támadóknak a felhasználói tevékenységek felett.

A hagyományos banki trójai vírusokkal ellentétben a Perseus túlmutat a hitelesítő adatok gyűjtésének egyszerűsítésén, aktívan figyeli a jegyzetelő alkalmazásokat. Ez a viselkedés arra utal, hogy a rendszer szándékosan törekszik olyan értékes személyes és pénzügyi információk kinyerésére, amelyeket esetleg nem tárolnak a hagyományos hitelesítő adatmezőkben.

Alapvető támadási technikák: Átfedés és bemeneti elfogás

Aktiválását követően a Perseus jól bevált Android banki rosszindulatú szoftvereket alkalmaz. Átfedési támadásokat indít, hogy csalárd felületeket jelenítsen meg legitim banki és kriptovaluta alkalmazások felett, valós időben rögzítve a felhasználói hitelesítő adatokat. Ezenkívül billentyűleütés-naplózást is használ az érzékeny bemeneti adatok elfogására azok beírásakor.

Parancsnoki és irányítási műveletek: Távoli manipulációs keretrendszer

A rosszindulatú programot egy parancs-és-vezérlési (C2) infrastruktúra vezérli, amely lehetővé teszi az operátorok számára parancsok kiadását, az eszköz viselkedésének manipulálását és csalárd tranzakciók engedélyezését. A főbb támogatott parancsok a következők:

  • Adatkinyerés és -megfigyelés (pl. jegyzetek rögzítése olyan alkalmazásokból, mint a Google Keep, az Evernote és a Microsoft OneNote)
  • Távoli munkamenet-kezelés VNC-n és HVNC-n keresztül valós idejű vagy strukturált felhasználói felületen keresztüli interakcióhoz
  • Képernyőkép készítése akadálymentesítési szolgáltatások használatával
  • Alkalmazásvezérlés, beleértve az alkalmazások elindítását vagy a korlátozások eltávolítását
  • Felhasználót megtévesztő taktikák, például fekete képernyős átfedések és hangnémítás
  • Ismeretlen forrásokból történő kényszerített telepítés és szimulált felhasználói interakciók

Ez az átfogó parancskészlet lehetővé teszi a támadók számára, hogy állandó és rejtett irányítást tartsanak fenn a feltört eszközök felett.

Kitérési taktikák és környezettudatosság

A Perseus fejlett anti-analízis technikákat alkalmaz az észlelés elkerülése érdekében. Átfogó környezeti ellenőrzéseket végez, beleértve a hibakereső eszközök azonosítását, a SIM-kártya jelenlétének ellenőrzését, a telepített alkalmazások számának elemzését és az akkumulátor-metrikák validálását a valós eszközön történő végrehajtás megerősítéséhez.

A kártevő ezeket az adatokat egy „gyanús pontszámmá” összesíti, amelyet továbbít a C2 szervernek. Ezen pontszám alapján az operátorok eldöntik, hogy folytatják-e a támadások kiaknázását, vagy inaktívak maradnak az észlelés elkerülése érdekében.

Stratégiai következmények: Hatékonyság az evolúción keresztül

A Perseus jól példázza az Android kártevők folyamatos evolúcióját, ahol az új fenyegetések egyre inkább a meglévő keretrendszerekre épülnek, ahelyett, hogy a nulláról fejlesztenék őket. A Cerberus és a Phoenix örökölt képességeinek célzott fejlesztésekkel, például jegyzetfigyeléssel és továbbfejlesztett távvezérléssel való kombinálásával a Perseus egyensúlyt teremt a hatékonyság és az innováció között.

Ez a megközelítés a kiberbűnözés egy szélesebb körű trendjét tükrözi: az alkalmazkodóképesség, a skálázhatóság és a nagy értékű adatok kinyerésének előtérbe helyezését, ami a modern kártevőkampányokat hatékonyabbá és nehezebben észlelhetővé teszi.

Felkapott

Fiókját letiltjuk E-mailes átverés

Adathalászat, Spam
A váratlan e-mailek kezelésekor éberség elengedhetetlen a személyes adatok és az online fiókok védelme érdekében. A kiberbűnözők gyakran álcázzák az adathalász üzeneteket sürgős értesítésekként, hogy a címzetteket gyors cselekvésre bírják anélkül, hogy ellenőriznék azok hitelességét. A „Fiókját letiltjuk” e-mailes átverés egy ilyen példa. A biztonsági elemzés azt mutatja, hogy ezek az üzenetek...

Ledger - Gyanús DEX tevékenységet észleltünk...

Adathalászat, Spam
A sürgős biztonsági problémákra hivatkozó váratlan e-maileket mindig óvatosan kell kezelni. A kiberbűnözők gyakran ismert márkáknak adják ki magukat, hogy pánikot keltsenek, és a címzetteket gyors cselekvésre bírják. Az úgynevezett „Ledger - Gyanús DEX tevékenység észlelve” e-mail egy ilyen példa. Bár úgy tűnik, hogy a Ledgertől származnak, az üzenetek nem a legitim hardvertárca-gyártóhoz vagy...

Legnézettebb

Betöltés...