Malware bancario Perseus
Gli analisti di sicurezza informatica hanno identificato una nuova famiglia di malware per Android, nota come Perseus, attualmente in circolazione per consentire l'acquisizione del controllo dei dispositivi (DTO) e perpetrare frodi finanziarie. Questa minaccia rappresenta una significativa evoluzione nel campo dei malware per dispositivi mobili, combinando tecniche consolidate con una maggiore flessibilità operativa.
Sommario
Evoluzione da linee di malware comprovate
Perseus si basa sui principi del malware Cerberus e del malware Phoenix per Android, entrambi noti trojan bancari per Android. Documentato per la prima volta nell'agosto 2019, Cerberus sfruttava i servizi di accessibilità di Android per elevare i privilegi, raccogliere dati sensibili e implementare attacchi overlay per il furto di credenziali. Dopo la fuga di notizie sul suo codice sorgente nel 2020, sono emersi numerosi derivati, tra cui Alien, ERMAC e Phoenix.
Perseus estende il codice sorgente di Phoenix, evolvendosi in una piattaforma più adattabile e performante. Indicatori come un'ampia registrazione dei log all'interno dell'applicazione e artefatti di codice insoliti suggeriscono che gli autori delle minacce potrebbero aver sfruttato modelli linguistici complessi (LLM) durante lo sviluppo.
Vettore di infezione: ingegneria sociale tramite applicazioni IPTV
La strategia di distribuzione si basa in gran parte sull'ingegneria sociale. Perseus viene distribuito tramite applicazioni dropper ospitate su siti web di phishing, spesso camuffati da servizi IPTV. Questo approccio ricalca le campagne associate al malware Massiv per Android, che prendono di mira gli utenti che cercano di accedere senza autorizzazione a contenuti in streaming premium.
Integrando codice dannoso all'interno di app IPTV apparentemente legittime, gli aggressori riducono i sospetti degli utenti e aumentano significativamente il tasso di successo dell'infezione. La campagna ha preso di mira principalmente utenti in diverse regioni, tra cui Turchia, Italia, Polonia, Germania, Francia, Emirati Arabi Uniti e Portogallo.
Catena di distribuzione del malware e artefatti noti
Nell'ambito dell'ecosistema di distribuzione di Perseus sono state individuate diverse applicazioni:
- Roja App Directa (com.xcvuc.ocnsxn) – Applicazione Dropper
- TvTApp (com.tvtapps.live) – Payload principale di Perseus
- PolBox Tv (com.streamview.players) – Variante del payload secondario
Queste applicazioni fungono da punti di ingresso per l'installazione del malware sui dispositivi compromessi.
Funzionalità avanzate di acquisizione del dispositivo
Perseus sfrutta i servizi di accessibilità di Android per stabilire sessioni remote, consentendo il monitoraggio in tempo reale e un'interazione precisa con i dispositivi infetti. Questa funzionalità permette di assumere il pieno controllo del dispositivo, garantendo agli aggressori un controllo esteso sull'attività dell'utente.
A differenza dei tradizionali trojan bancari, Perseus va oltre la semplice raccolta delle credenziali, monitorando attivamente le applicazioni per prendere appunti. Questo comportamento indica un obiettivo deliberato: estrarre informazioni personali e finanziarie di alto valore che potrebbero non essere memorizzate nei campi delle credenziali convenzionali.
Tecniche di attacco fondamentali: sovrapposizione e intercettazione degli input
Una volta attivo, Perseus utilizza tecniche consolidate di malware bancario per Android. Lancia attacchi di overlay per visualizzare interfacce fraudolente sopra applicazioni bancarie e di criptovalute legittime, acquisendo le credenziali dell'utente in tempo reale. Inoltre, utilizza la registrazione della sequenza di tasti per intercettare i dati sensibili inseriti.
Operazioni di comando e controllo: quadro di riferimento per la manipolazione a distanza
Il malware è controllato tramite un'infrastruttura di comando e controllo (C2), che consente agli operatori di impartire comandi, manipolare il comportamento del dispositivo e autorizzare transazioni fraudolente. I comandi principali supportati includono:
- Estrazione e sorveglianza dei dati (ad esempio, acquisizione di note da app come Google Keep, Evernote e Microsoft OneNote)
- Gestione remota delle sessioni tramite VNC e HVNC per interazione con l'interfaccia utente in tempo reale o strutturata.
- Acquisizione di schermate tramite servizi di accessibilità
- Controllo delle applicazioni, incluso l'avvio di app o la rimozione di restrizioni
- Tattiche di inganno nei confronti dell'utente, come sovrapposizioni di schermo nero e disattivazione dell'audio.
- Installazione forzata da fonti sconosciute e interazioni utente simulate
Questo set completo di comandi consente agli aggressori di mantenere un controllo persistente e occulto sui dispositivi compromessi.
Tattiche di elusione e consapevolezza ambientale
Perseus incorpora tecniche avanzate di anti-analisi per eludere il rilevamento. Esegue controlli ambientali approfonditi, tra cui l'identificazione di strumenti di debug, la verifica della presenza della scheda SIM, l'analisi del numero di applicazioni installate e la convalida dei parametri della batteria per confermare l'esecuzione su un dispositivo reale.
Il malware aggrega questi dati in un "punteggio di sospetto", che viene trasmesso al server C2. In base a questo punteggio, gli operatori decidono se procedere con ulteriori attività di sfruttamento o rimanere inattivi per evitare di essere scoperti.
Implicazioni strategiche: efficienza attraverso l’evoluzione
Perseus esemplifica la continua evoluzione del malware per Android, dove le nuove minacce si basano sempre più su framework esistenti anziché essere sviluppate da zero. Combinando le funzionalità ereditate da Cerberus e Phoenix con miglioramenti mirati, come il monitoraggio delle note e un controllo remoto più efficace, Perseus raggiunge un equilibrio tra efficienza e innovazione.
Questo approccio riflette una tendenza più ampia nel campo della criminalità informatica: la priorità data all'adattabilità, alla scalabilità e all'estrazione di dati di alto valore, rendendo le moderne campagne malware più efficaci e più difficili da rilevare.
