Rabatttilbud for flere lisenser
Trusseldatabase Mobil skadelig programvare Perseus Banking-skadevare

Perseus Banking-skadevare

Med Mezo i Mobil skadelig programvare, Bank Trojan
Oversett til:

Nettsikkerhetsanalytikere har identifisert en ny familie av Android-skadevare, kjent som Perseus Android-skadevare, som aktivt distribueres for å muliggjøre enhetsovertakelse (DTO) og utføre økonomisk svindel. Denne trusselen representerer en betydelig utvikling innen mobil skadevare, og kombinerer etablerte teknikker med forbedret driftsfleksibilitet.

Evolusjon fra påviste malware-linjer

Perseus er bygget på grunnlaget av Cerberus-skadevaren og Phoenix Android-skadevaren, begge velkjente Android-banktrojanere. Cerberus, som først ble dokumentert i august 2019, misbrukte Androids tilgjengelighetstjenester til å eskalere rettigheter, samle sensitive data og distribuere overlay-angrep for å tyveri av legitimasjon. Etter at kildekoden lekket i 2020, dukket det opp flere derivater, inkludert Alien, ERMAC og Phoenix.

Perseus utvider Phoenix-kodebasen og utvikler seg til en mer tilpasningsdyktig og kapabel plattform. Indikatorer som omfattende logging i appen og uvanlige kodeartefakter tyder på at trusselaktører kan ha benyttet seg av assistanse fra store språkmodeller (LLM) under utviklingen.

Infeksjonsvektor: Sosial manipulering via IPTV-applikasjoner

Distribusjonsstrategien er i stor grad avhengig av sosial manipulering. Perseus leveres gjennom dropper-applikasjoner som ligger på phishing-nettsteder, ofte kamuflert som IPTV-tjenester. Denne tilnærmingen speiler kampanjer knyttet til Massiv Android-skadevare, som retter seg mot brukere som søker uautorisert tilgang til premium strømmeinnhold.

Ved å legge inn ondsinnede nyttelaster i tilsynelatende legitime IPTV-apper, reduserer angripere brukermistenksomhet og øker suksessraten for infeksjoner betydelig. Kampanjen har primært rettet seg mot brukere i flere regioner, inkludert Tyrkia, Italia, Polen, Tyskland, Frankrike, De forente arabiske emirater og Portugal.

Distribusjonskjede for skadelig programvare og kjente artefakter

Flere bruksområder har blitt identifisert som en del av Perseus-distribusjonsøkosystemet:

  • Roja App Directa (com.xcvuc.ocnsxn) – Dropper-applikasjon
  • TvTApp (com.tvtapps.live) – Primær Perseus-nyttelast
  • PolBox Tv (com.streamview.players) – Sekundær nyttelastvariant

Disse applikasjonene fungerer som inngangsporter for å installere skadelig programvare på kompromitterte enheter.

Avanserte funksjoner for enhetsovertakelse

Perseus bruker Androids tilgjengelighetstjenester for å etablere eksterne økter, noe som muliggjør overvåking i sanntid og presis interaksjon med infiserte enheter. Denne funksjonaliteten tillater full enhetsovertakelse, noe som gir angripere omfattende kontroll over brukeraktivitet.

I motsetning til tradisjonelle banktrojanere går Perseus lenger enn bare å samle inn legitimasjonsinformasjon ved aktivt å overvåke notatprogrammer. Denne oppførselen indikerer et bevisst fokus på å utvinne verdifull personlig og økonomisk informasjon som kanskje ikke lagres i konvensjonelle legitimasjonsfelt.

Kjerneangrepsteknikker: Overlegg og input-avskjæring

Når Perseus er aktiv, bruker den veletablerte teknikker for skadelig programvare for Android-banktjenester. Den iverksetter overlay-angrep for å vise falske grensesnitt over legitime bank- og kryptovalutaapplikasjoner, og fanger opp brukerlegitimasjon i sanntid. I tillegg brukes tastetrykklogging til å fange opp sensitive inndata når de legges inn.

Kommando- og kontrolloperasjoner: Rammeverk for fjernmanipulering

Skadevaren kontrolleres gjennom en kommando-og-kontroll-infrastruktur (C2), som lar operatører utstede kommandoer, manipulere enhetsadferd og autorisere uredelige transaksjoner. Viktige støttede kommandoer inkluderer:

  • Datautvinning og overvåking (f.eks. innsamling av notater fra apper som Google Keep, Evernote og Microsoft OneNote)
  • Fjernstyring av økter via VNC og HVNC for sanntids- eller strukturert UI-interaksjon
  • Skjermbildeopptak ved hjelp av tilgjengelighetstjenester
  • Appkontroll, inkludert å starte apper eller fjerne restriksjoner
  • Brukerbedragstaktikker som svarte skjermoverlegg og lyddemping
  • Tvungen installasjon fra ukjente kilder og simulerte brukerinteraksjoner

Dette omfattende kommandosettet gjør det mulig for angripere å opprettholde vedvarende og skjult kontroll over kompromitterte enheter.

Unnvikelsestaktikker og miljøbevissthet

Perseus bruker avanserte antianalyseteknikker for å unngå deteksjon. Den utfører omfattende miljøkontroller, inkludert identifisering av feilsøkingsverktøy, verifisering av SIM-kort, analyse av antall installerte applikasjoner og validering av batterimålinger for å bekrefte utførelse på en ekte enhet.

Skadevaren samler disse dataene til en «mistenkelsespoengsum», som overføres til C2-serveren. Basert på denne poengsummen bestemmer operatørene om de skal fortsette med videre utnyttelse eller forbli inaktive for å unngå oppdagelse.

Strategiske implikasjoner: Effektivitet gjennom evolusjon

Perseus er et eksempel på den pågående utviklingen av Android-skadevare, der nye trusler i økende grad bygges på eksisterende rammeverk i stedet for å utvikles fra bunnen av. Ved å kombinere arvede funksjoner fra Cerberus og Phoenix med målrettede forbedringer, som notatovervåking og forbedret fjernkontroll, oppnår Perseus en balanse mellom effektivitet og innovasjon.

Denne tilnærmingen gjenspeiler en bredere trend innen nettkriminalitet: prioritering av tilpasningsevne, skalerbarhet og verdifull datautvinning, noe som gjør moderne skadevarekampanjer mer effektive og vanskeligere å oppdage.

Trender

Mest sett

Laster inn...