„Perseus“ bankininkystės kenkėjiška programa
Kibernetinio saugumo analitikai nustatė naują „Android“ kenkėjiškų programų šeimą, vadinamą „Perseus Android“ kenkėjiška programa, aktyviai dislokuotą lauke, siekiant įgalinti įrenginių perėmimą (DTO) ir vykdyti finansinį sukčiavimą. Ši grėsmė yra reikšminga mobiliųjų kenkėjiškų programų evoliucija, kurioje derinami nusistovėję metodai su padidintu operaciniu lankstumu.
Turinys
Evoliucija iš patikrintų kenkėjiškų programų linijų
„Perseus“ sukurta remiantis gerai žinomų „Android“ bankininkystės Trojos arklių „Cerberus“ ir „Phoenix Android“ kenkėjiškų programų pagrindu. Pirmą kartą aprašyta 2019 m. rugpjūtį, „Cerberus“ piktnaudžiavo „Android“ prieinamumo paslaugomis, kad padidintų privilegijas, rinktų jautrius duomenis ir vykdytų perdangos atakas, skirtas kredencialų vagystei. Po to, kai 2020 m. nutekėjo jos išeities kodas, atsirado daug jos darinių, įskaitant „Alien“, „ERMAC“ ir „Phoenix“.
„Perseus“ plečia „Phoenix“ kodo bazę, tapdama labiau pritaikoma ir pajėgesne platforma. Tokie rodikliai kaip išsamus registravimas programoje ir neįprasti kodo artefaktai rodo, kad grėsmių kūrėjai kūrimo metu galėjo pasinaudoti didelio kalbų modelio (LLM) pagalba.
Infekcijos vektorius: socialinė inžinerija per IPTV programas
Platinimo strategija labai remiasi socialine inžinerija. „Perseus“ virusas platinamas per sukčiavimo svetainėse talpinamas programas, dažnai maskuojamas kaip IPTV paslaugos. Šis metodas atspindi kampanijas, susijusias su „Massiv Android“ kenkėjiška programa, nukreipta į vartotojus, siekiančius neteisėtos prieigos prie aukščiausios kokybės srautinio perdavimo turinio.
Įterpdami kenkėjiškas programas į, regis, teisėtas IPTV programas, užpuolikai sumažina vartotojų įtarimus ir žymiai padidina užkrėtimo sėkmės rodiklius. Kampanija daugiausia buvo nukreipta į vartotojus įvairiuose regionuose, įskaitant Turkiją, Italiją, Lenkiją, Vokietiją, Prancūziją, Jungtinius Arabų Emyratus ir Portugaliją.
Kenkėjiškų programų diegimo grandinė ir žinomi artefaktai
Perseus platinimo ekosistemos dalimi buvo nustatytos kelios taikymo sritys:
- Roja App Directa (com.xcvuc.ocnsxn) – lašintuvo programa
- „TvTApp“ (com.tvtapps.live) – pagrindinė „Perseus“ naudingoji apkrova
- „PolBox Tv“ (com.streamview.players) – antrinio naudingojo krovinio variantas
Šios programos tarnauja kaip kenkėjiškų programų diegimo į pažeistus įrenginius taškai.
Išplėstinės įrenginių perėmimo galimybės
„Perseus“ naudoja „Android“ pritaikymo neįgaliesiems paslaugas nuotolinėms sesijoms užmegzti, įgalindama stebėjimą realiuoju laiku ir tikslų bendravimą su užkrėstais įrenginiais. Ši funkcija leidžia visiškai perimti įrenginio valdymą, suteikdama užpuolikams didelę naudotojų veiklos kontrolę.
Skirtingai nuo tradicinių bankininkystės Trojos arklių, „Perseus“ neapsiriboja vien kredencialų rinkimu, aktyviai stebėdamas užrašų darymo programas. Toks elgesys rodo, kad sąmoningai siekiama išgauti didelės vertės asmeninę ir finansinę informaciją, kuri gali būti nesaugoma įprastuose kredencialų laukuose.
Pagrindinės atakos technikos: perdengimas ir įvesties perėmimas
Aktyvi „Perseus“ naudoja gerai žinomus „Android“ bankininkystės kenkėjiškų programų metodus. Ji vykdo perdengimo atakas, kad rodytų apgaulingas sąsajas teisėtose bankininkystės ir kriptovaliutų programose, realiuoju laiku fiksuodama naudotojų kredencialus. Be to, klavišų paspaudimų registravimas naudojamas slaptiems įvesties duomenims perimti juos įvedant.
Vadovavimo ir kontrolės operacijos: nuotolinio manipuliavimo sistema
Kenkėjiška programa valdoma per komandų ir kontrolės (C2) infrastruktūrą, leidžiančią operatoriams duoti komandas, manipuliuoti įrenginio elgsena ir autorizuoti nesąžiningas operacijas. Pagrindinės palaikomos komandos apima:
- Duomenų išgavimas ir stebėjimas (pvz., užrašų fiksavimas iš tokių programų kaip „Google Keep“, „Evernote“ ir „Microsoft OneNote“)
- Nuotolinis sesijos valdymas per VNC ir HVNC, skirtas sąveikai realiuoju laiku arba struktūrizuota vartotojo sąsaja
- Ekrano kopijos darymas naudojant pritaikymo neįgaliesiems paslaugas
- Programų valdymas, įskaitant programų paleidimą arba apribojimų pašalinimą
- Vartotojų apgaulės taktika, pvz., juodo ekrano uždangos ir garso nutildymas
- Priverstinis diegimas iš nežinomų šaltinių ir imituojama naudotojo sąveika
Šis išsamus komandų rinkinys leidžia užpuolikams išlaikyti nuolatinę ir slaptą pažeistų įrenginių kontrolę.
Išsisukimo taktika ir aplinkos suvokimas
„Perseus“ naudoja pažangius antianalizės metodus, kad išvengtų aptikimo. Ji atlieka išsamius aplinkos patikrinimus, įskaitant derinimo įrankių identifikavimą, SIM kortelės buvimo patikrinimą, įdiegtų programų skaičiaus analizę ir akumuliatoriaus metrikos patvirtinimą, kad patvirtintų vykdymą realiame įrenginyje.
Kenkėjiška programa sujungia šiuos duomenis į „įtarimo balą“, kuris perduodamas į C2 serverį. Remdamiesi šiuo balu, operatoriai nusprendžia, ar tęsti tolesnį išnaudojimą, ar likti neveikli, kad išvengtų aptikimo.
Strateginės implikacijos: efektyvumas per evoliuciją
„Perseus“ yra nuolatinės „Android“ kenkėjiškų programų evoliucijos pavyzdys, kai naujos grėsmės vis dažniau kuriamos remiantis esamomis sistemomis, o ne nuo nulio. Derindama paveldėtas „Cerberus“ ir „Phoenix“ galimybes su tiksliniais patobulinimais, tokiais kaip užrašų stebėjimas ir patobulintas nuotolinis valdymas, „Perseus“ pasiekia efektyvumo ir inovacijų pusiausvyrą.
Šis požiūris atspindi platesnę kibernetinių nusikaltimų tendenciją: pirmenybė teikiama prisitaikymui, mastelio keitimui ir didelės vertės duomenų išgavimui, todėl šiuolaikinės kenkėjiškų programų kampanijos tampa veiksmingesnės ir sunkiau aptinkamos.
