Perseus banku ļaunprogrammatūra
Kiberdrošības analītiķi ir identificējuši jaunu Android ļaunprogrammatūras saimi, kas pazīstama kā Perseus Android ļaunprogrammatūra, kas aktīvi tiek izmantota, lai nodrošinātu ierīču pārņemšanu (DTO) un veiktu finanšu krāpšanu. Šis apdraudējums atspoguļo ievērojamu mobilo ļaunprogrammatūru evolūciju, apvienojot iedibinātas metodes ar uzlabotu darbības elastību.
Satura rādītājs
Evolūcija no pierādītām ļaunprogrammatūras līnijām
Perseus ir veidots uz Cerberus ļaunprogrammatūras un Phoenix Android ļaunprogrammatūras pamatiem, kas abi ir labi pazīstami Android banku Trojas zirgi. Pirmo reizi dokumentēta 2019. gada augustā, Cerberus ļaunprātīgi izmantoja Android pieejamības pakalpojumus, lai paaugstinātu privilēģijas, ievāktu sensitīvus datus un izmantotu pārklājuma uzbrukumus akreditācijas datu zādzībai. Pēc pirmkoda noplūdes 2020. gadā parādījās vairāki atvasinājumi, tostarp Alien, ERMAC un Phoenix.
Perseus paplašina Phoenix koda bāzi, attīstoties par pielāgojamāku un jaudīgāku platformu. Tādi rādītāji kā plaša lietotnē veiktā reģistrēšana un neparasti koda artefakti liecina, ka apdraudējumu dalībnieki izstrādes laikā, iespējams, ir izmantojuši lielu valodu modeļu (LLM) palīdzību.
Infekcijas vektors: sociālā inženierija, izmantojot IPTV lietojumprogrammas
Izplatīšanas stratēģija lielā mērā balstās uz sociālo inženieriju. Perseus tiek piegādāts, izmantojot pikšķerēšanas vietnēs mitinātas dropper lietojumprogrammas, kas bieži vien ir maskētas kā IPTV pakalpojumi. Šī pieeja atspoguļo kampaņas, kas saistītas ar Massiv Android ļaunprogrammatūru, kuras mērķauditorija ir lietotāji, kuri meklē neatļautu piekļuvi maksas straumēšanas saturam.
Ievietojot ļaunprātīgus vērtumus šķietami likumīgās IPTV lietotnēs, uzbrucēji mazina lietotāju aizdomas un ievērojami palielina inficēšanas veiksmes rādītājus. Kampaņa galvenokārt ir vērsta pret lietotājiem vairākos reģionos, tostarp Turcijā, Itālijā, Polijā, Vācijā, Francijā, Apvienotajos Arābu Emirātos un Portugālē.
Ļaunprogrammatūras izvietošanas ķēde un zināmie artefakti
Kā daļa no Perseus izplatīšanas ekosistēmas ir identificētas vairākas lietojumprogrammas:
- Roja App Directa (com.xcvuc.ocnsxn) – lietojumprogramma ar pilinātāju
- TvTApp (com.tvtapps.live) – Perseus primārā lietderīgā slodze
- PolBox Tv (com.streamview.players) — sekundārās lietderīgās slodzes variants
Šīs lietojumprogrammas kalpo kā ieejas punkti ļaunprogrammatūras instalēšanai apdraudētās ierīcēs.
Uzlabotas ierīču pārņemšanas iespējas
Perseus izmanto Android pieejamības pakalpojumus, lai izveidotu attālinātas sesijas, nodrošinot uzraudzību reāllaikā un precīzu mijiedarbību ar inficētām ierīcēm. Šī funkcionalitāte ļauj pilnībā pārņemt ierīci, piešķirot uzbrucējiem plašu kontroli pār lietotāju darbībām.
Atšķirībā no tradicionālajiem banku Trojas zirgiem, Perseus ne tikai iegūst akreditācijas datus, bet arī aktīvi uzrauga piezīmju veikšanas lietojumprogrammas. Šāda rīcība liecina par apzinātu koncentrēšanos uz vērtīgas personiskas un finanšu informācijas iegūšanu, kas, iespējams, netiek glabāta tradicionālajos akreditācijas datu laukos.
Galvenās uzbrukuma metodes: pārklājums un ievades pārtveršana
Kad Perseus ir aktīvs, tas izmanto labi zināmas Android banku ļaunprogrammatūras metodes. Tas veic pārklājuma uzbrukumus, lai parādītu krāpnieciskas saskarnes likumīgās banku un kriptovalūtu lietojumprogrammās, reāllaikā tverot lietotāju akreditācijas datus. Turklāt taustiņu nospiešanas reģistrēšana tiek izmantota, lai pārtvertu sensitīvus ievades datus to ievadīšanas brīdī.
Komandvadības un kontroles operācijas: attālinātās manipulācijas ietvars
Ļaunprogrammatūra tiek kontrolēta, izmantojot komandu un kontroles (C2) infrastruktūru, kas ļauj operatoriem izdot komandas, manipulēt ar ierīces darbību un autorizēt krāpnieciskus darījumus. Galvenās atbalstītās komandas ietver:
- Datu ieguve un uzraudzība (piemēram, piezīmju ierakstīšana no tādām lietotnēm kā Google Keep, Evernote un Microsoft OneNote)
- Attālā sesiju pārvaldība, izmantojot VNC un HVNC reāllaika vai strukturētai lietotāja saskarnes mijiedarbībai
- Ekrānuzņēmuma uzņemšana, izmantojot pieejamības pakalpojumus
- Lietojumprogrammu kontrole, tostarp lietotņu palaišana vai ierobežojumu noņemšana
- Lietotāju maldināšanas taktika, piemēram, melna ekrāna pārklājumi un audio izslēgšana
- Piespiedu instalēšana no nezināmiem avotiem un simulēta lietotāja mijiedarbība
Šis visaptverošais komandu kopums ļauj uzbrucējiem saglabāt pastāvīgu un slepenu kontroli pār apdraudētām ierīcēm.
Izvairīšanās taktika un vides apzināšanās
Perseus ietver uzlabotas antianalīzes metodes, lai izvairītos no atklāšanas. Tas veic plašas vides pārbaudes, tostarp identificē atkļūdošanas rīkus, pārbauda SIM kartes klātbūtni, analizē instalēto lietojumprogrammu skaitu un validē akumulatora rādītājus, lai apstiprinātu izpildi reālā ierīcē.
Ļaunprogrammatūra apkopo šos datus “aizdomu vērtējumā”, kas tiek nosūtīts uz C2 serveri. Pamatojoties uz šo vērtējumu, operatori nosaka, vai turpināt ļaunprātīgas izmantošanas procesu vai palikt neaktīvi, lai izvairītos no atklāšanas.
Stratēģiskās sekas: efektivitāte, izmantojot evolūciju
Perseus ir piemērs Android ļaunprogrammatūras nepārtrauktajai evolūcijai, kur jauni draudi arvien vairāk tiek veidoti, balstoties uz esošajiem ietvariem, nevis izstrādāti no nulles. Apvienojot no Cerberus un Phoenix mantotās iespējas ar mērķtiecīgiem uzlabojumiem, piemēram, piezīmju uzraudzību un uzlabotu tālvadību, Perseus panāk līdzsvaru starp efektivitāti un inovācijām.
Šī pieeja atspoguļo plašāku kibernoziedzības tendenci: pielāgošanās spējas, mērogojamības un augstas vērtības datu ieguves prioritāšu piešķiršana, padarot mūsdienu ļaunprogrammatūras kampaņas efektīvākas un grūtāk atklājamas.
