Perisian Hasad Perbankan Perseus
Penganalisis keselamatan siber telah mengenal pasti keluarga perisian hasad Android baharu yang dikenali sebagai perisian hasad Perseus Android, yang digunakan secara aktif di alam liar untuk membolehkan pengambilalihan peranti (DTO) dan melaksanakan penipuan kewangan. Ancaman ini mewakili evolusi ketara dalam perisian hasad mudah alih, menggabungkan teknik yang sedia ada dengan fleksibiliti operasi yang dipertingkatkan.
Isi kandungan
Evolusi daripada Keturunan Perisian Hasad yang Terbukti
Perseus dibina di atas asas perisian hasad Cerberus dan perisian hasad Phoenix Android, kedua-duanya merupakan trojan perbankan Android yang terkenal. Pertama kali didokumenkan pada Ogos 2019, Cerberus menyalahgunakan perkhidmatan kebolehcapaian Android untuk meningkatkan keistimewaan, menuai data sensitif dan menggunakan serangan tindanan untuk kecurian kelayakan. Selepas kod sumbernya bocor pada tahun 2020, pelbagai derivatif muncul, termasuk Alien, ERMAC dan Phoenix.
Perseus memperluaskan pangkalan kod Phoenix, berkembang menjadi platform yang lebih mudah disesuaikan dan berkemampuan. Petunjuk seperti pembalakan dalam aplikasi yang meluas dan artifak kod yang luar biasa menunjukkan bahawa pelaku ancaman mungkin telah memanfaatkan bantuan model bahasa besar (LLM) semasa pembangunan.
Vektor Jangkitan: Kejuruteraan Sosial melalui Aplikasi IPTV
Strategi pengedaran sangat bergantung pada kejuruteraan sosial. Perseus disampaikan melalui aplikasi dropper yang dihoskan di laman web pancingan data, yang sering disamarkan sebagai perkhidmatan IPTV. Pendekatan ini mencerminkan kempen yang berkaitan dengan perisian hasad Massiv Android, menyasarkan pengguna yang mencari akses tanpa kebenaran kepada kandungan penstriman premium.
Dengan membenamkan muatan berniat jahat dalam aplikasi IPTV yang nampaknya sah, penyerang mengurangkan kecurigaan pengguna dan meningkatkan kadar kejayaan jangkitan dengan ketara. Kempen ini terutamanya menyasarkan pengguna merentasi pelbagai wilayah, termasuk Turki, Itali, Poland, Jerman, Perancis, Emiriah Arab Bersatu dan Portugal.
Rantaian Pelaksanaan Perisian Hasad dan Artifak yang Diketahui
Beberapa aplikasi telah dikenal pasti sebagai sebahagian daripada ekosistem pengedaran Perseus:
- Roja App Directa (com.xcvuc.ocnsxn) – Aplikasi penitis
- TvTApp (com.tvtapps.live) – Muatan Perseus Utama
- PolBox Tv (com.streamview.players) – Varian muatan sekunder
Aplikasi ini berfungsi sebagai titik masuk untuk memasang perisian hasad pada peranti yang dicerobohi.
Keupayaan Pengambilalihan Peranti Lanjutan
Perseus memanfaatkan perkhidmatan kebolehcapaian Android untuk mewujudkan sesi jarak jauh, membolehkan pemantauan masa nyata dan interaksi tepat dengan peranti yang dijangkiti. Fungsi ini membolehkan pengambilalihan peranti penuh, memberikan penyerang kawalan meluas ke atas aktiviti pengguna.
Tidak seperti trojan perbankan tradisional, Perseus melangkaui penuaian tauliah dengan memantau aplikasi pencatat nota secara aktif. Tingkah laku ini menunjukkan tumpuan yang disengajakan untuk mengekstrak maklumat peribadi dan kewangan bernilai tinggi yang mungkin tidak disimpan dalam medan tauliah konvensional.
Teknik Serangan Teras: Overlay dan Pemintasan Input
Setelah aktif, Perseus menggunakan teknik malware perbankan Android yang mantap. Ia melancarkan serangan tindanan untuk memaparkan antara muka palsu melalui aplikasi perbankan dan mata wang kripto yang sah, menangkap kelayakan pengguna dalam masa nyata. Selain itu, pengelogan ketukan kekunci digunakan untuk memintas data input sensitif semasa ia dimasukkan.
Operasi Perintah dan Kawalan: Kerangka Manipulasi Jauh
Perisian hasad dikawal melalui infrastruktur arahan dan kawalan (C2), yang membolehkan pengendali mengeluarkan arahan, memanipulasi tingkah laku peranti dan membenarkan transaksi penipuan. Arahan utama yang disokong termasuk:
- Pengekstrakan dan pengawasan data (contohnya, merakam nota daripada aplikasi seperti Google Keep, Evernote dan Microsoft OneNote)
- Pengurusan sesi jarak jauh melalui VNC dan HVNC untuk interaksi UI masa nyata atau berstruktur
- Tangkapan skrin menggunakan perkhidmatan kebolehcapaian
- Kawalan aplikasi, termasuk melancarkan aplikasi atau mengalih keluar sekatan
- Taktik penipuan pengguna seperti tindanan skrin hitam dan peredaman audio
- Pemasangan paksa daripada sumber yang tidak diketahui dan interaksi pengguna simulasi
Set arahan komprehensif ini membolehkan penyerang mengekalkan kawalan berterusan dan rahsia ke atas peranti yang diceroboh.
Taktik Pengelakan dan Kesedaran Alam Sekitar
Perseus menggabungkan teknik anti-analisis canggih untuk mengelakkan pengesanan. Ia melakukan pemeriksaan persekitaran yang meluas, termasuk mengenal pasti alat penyahpepijatan, mengesahkan kehadiran kad SIM, menganalisis kiraan aplikasi yang dipasang dan mengesahkan metrik bateri untuk mengesahkan pelaksanaan pada peranti sebenar.
Perisian hasad ini mengagregatkan data ini menjadi 'skor kecurigaan', yang dihantar ke pelayan C2. Berdasarkan skor ini, pengendali menentukan sama ada untuk meneruskan eksploitasi selanjutnya atau kekal tidak aktif untuk mengelakkan pengesanan.
Implikasi Strategik: Kecekapan Melalui Evolusi
Perseus mencontohi evolusi berterusan perisian hasad Android, di mana ancaman baharu semakin dibina berdasarkan rangka kerja sedia ada dan bukannya dibangunkan dari awal. Dengan menggabungkan keupayaan yang diwarisi daripada Cerberus dan Phoenix dengan penambahbaikan yang disasarkan, seperti pemantauan nota dan kawalan jauh yang dipertingkatkan, Perseus mencapai keseimbangan antara kecekapan dan inovasi.
Pendekatan ini mencerminkan trend yang lebih luas dalam jenayah siber: keutamaan kebolehsuaian, kebolehskalaan dan pengekstrakan data bernilai tinggi, menjadikan kempen perisian hasad moden lebih berkesan dan lebih sukar untuk dikesan.
