पर्सियस बैंकिङ मालवेयर

साइबरसुरक्षा विश्लेषकहरूले पर्सियस एन्ड्रोइड मालवेयर भनेर चिनिने नयाँ एन्ड्रोइड मालवेयर परिवार पहिचान गरेका छन्, जुन उपकरण टेकओभर (DTO) सक्षम पार्न र वित्तीय ठगी कार्यान्वयन गर्न सक्रिय रूपमा प्रयोग गरिएको छ। यो खतराले मोबाइल मालवेयरमा महत्त्वपूर्ण विकासलाई प्रतिनिधित्व गर्दछ, जसले स्थापित प्रविधिहरूलाई बढाइएको परिचालन लचिलोपनसँग संयोजन गर्दछ।

प्रमाणित मालवेयर वंशबाट विकास

पर्सियस सेर्बेरस मालवेयर र फिनिक्स एन्ड्रोइड मालवेयरको जगमा निर्मित छ, दुबै प्रसिद्ध एन्ड्रोइड बैंकिङ ट्रोजनहरू। पहिलो पटक अगस्ट २०१९ मा दस्तावेज गरिएको, सेर्बेरसले विशेषाधिकार बढाउन, संवेदनशील डेटा सङ्कलन गर्न र प्रमाण चोरीको लागि ओभरले आक्रमणहरू तैनाथ गर्न एन्ड्रोइडको पहुँच सेवाहरूको दुरुपयोग गर्‍यो। २०२० मा यसको स्रोत कोड लीक भएपछि, एलियन, ERMAC, र फिनिक्स सहित धेरै डेरिभेटिभहरू देखा परे।

पर्सियसले फिनिक्स कोडबेसलाई विस्तार गर्दछ, अझ अनुकूलनीय र सक्षम प्लेटफर्ममा विकसित हुँदै। व्यापक इन-एप लगिङ र असामान्य कोड कलाकृतिहरू जस्ता सूचकहरूले विकासको क्रममा खतरा अभिनेताहरूले ठूलो भाषा मोडेल (LLM) सहायता प्रयोग गरेको हुन सक्छ भन्ने सुझाव दिन्छ।

संक्रमण भेक्टर: IPTV अनुप्रयोगहरू मार्फत सामाजिक इन्जिनियरिङ

वितरण रणनीति सामाजिक इन्जिनियरिङमा धेरै निर्भर गर्दछ। पर्सियसलाई फिसिङ वेबसाइटहरूमा होस्ट गरिएका ड्रपर एप्लिकेसनहरू मार्फत डेलिभर गरिन्छ, जुन प्रायः IPTV सेवाहरूको रूपमा भेषमा हुन्छन्। यो दृष्टिकोणले Massiv एन्ड्रोइड मालवेयरसँग सम्बन्धित अभियानहरूलाई प्रतिबिम्बित गर्दछ, जसले प्रिमियम स्ट्रिमिङ सामग्रीमा अनधिकृत पहुँच खोज्ने प्रयोगकर्ताहरूलाई लक्षित गर्दछ।

वैध देखिने IPTV एपहरू भित्र दुर्भावनापूर्ण पेलोडहरू इम्बेड गरेर, आक्रमणकारीहरूले प्रयोगकर्ताको शंका कम गर्छन् र संक्रमण सफलता दर उल्लेखनीय रूपमा बढाउँछन्। यो अभियानले मुख्यतया टर्की, इटाली, पोल्याण्ड, जर्मनी, फ्रान्स, संयुक्त अरब इमिरेट्स र पोर्चुगल लगायत धेरै क्षेत्रहरूमा प्रयोगकर्ताहरूलाई लक्षित गरेको छ।

मालवेयर डिप्लोयमेन्ट चेन र ज्ञात कलाकृतिहरू

पर्सियस वितरण इकोसिस्टमको भागको रूपमा धेरै अनुप्रयोगहरू पहिचान गरिएको छ:

• रोजा एप Directa (com.xcvuc.ocnsxn) - ड्रपर एप
• TvTApp (com.tvtapps.live) – प्राथमिक पर्सियस पेलोड
• पोलबक्स टिभी (com.streamview.players) – माध्यमिक पेलोड भेरियन्ट

यी अनुप्रयोगहरूले सम्झौता गरिएका उपकरणहरूमा मालवेयर स्थापना गर्न प्रवेश बिन्दुको रूपमा काम गर्छन्।

उन्नत उपकरण अधिग्रहण क्षमताहरू

पर्सियसले एन्ड्रोइड पहुँच सेवाहरू प्रयोग गरेर रिमोट सत्रहरू स्थापना गर्दछ, जसले गर्दा संक्रमित उपकरणहरूसँग वास्तविक-समय निगरानी र सटीक अन्तरक्रिया सक्षम हुन्छ। यो कार्यक्षमताले पूर्ण उपकरण अधिग्रहण गर्न अनुमति दिन्छ, जसले आक्रमणकारीहरूलाई प्रयोगकर्ता गतिविधिमा व्यापक नियन्त्रण प्रदान गर्दछ।

परम्परागत बैंकिङ ट्रोजनहरू भन्दा फरक, पर्सियसले नोट-लिने अनुप्रयोगहरूको सक्रिय रूपमा निगरानी गरेर क्रेडेन्सियल कटाईभन्दा बाहिर जान्छ। यो व्यवहारले उच्च-मूल्यवान व्यक्तिगत र वित्तीय जानकारी निकाल्नमा जानाजानी ध्यान केन्द्रित गर्दछ जुन परम्परागत क्रेडेन्सियल क्षेत्रहरूमा भण्डारण गर्न सकिँदैन।

मुख्य आक्रमण प्रविधिहरू: ओभरले र इनपुट अवरोध

एक पटक सक्रिय भएपछि, पर्सियसले राम्रोसँग स्थापित एन्ड्रोइड बैंकिङ मालवेयर प्रविधिहरू प्रयोग गर्दछ। यसले वैध बैंकिङ र क्रिप्टोकरेन्सी अनुप्रयोगहरूमा धोखाधडीपूर्ण इन्टरफेसहरू प्रदर्शन गर्न ओभरले आक्रमणहरू सुरु गर्दछ, वास्तविक समयमा प्रयोगकर्ता प्रमाणहरू कब्जा गर्दछ। थप रूपमा, संवेदनशील इनपुट डेटा प्रविष्ट गर्दा यसलाई अवरोध गर्न किस्ट्रोक लगिङ प्रयोग गरिन्छ।

कमाण्ड-एण्ड-कन्ट्रोल अपरेशन्स: रिमोट म्यानिपुलेसन फ्रेमवर्क

मालवेयर कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधार मार्फत नियन्त्रित हुन्छ, जसले अपरेटरहरूलाई आदेशहरू जारी गर्न, उपकरण व्यवहार हेरफेर गर्न र धोखाधडीपूर्ण लेनदेनहरूलाई अधिकृत गर्न अनुमति दिन्छ। प्रमुख समर्थित आदेशहरू समावेश छन्:

• डेटा निकासी र निगरानी (जस्तै, गुगल किप, एभरनोट, र माइक्रोसफ्ट वननोट जस्ता एपहरूबाट नोटहरू खिच्ने)
• वास्तविक-समय वा संरचित UI अन्तरक्रियाको लागि VNC र HVNC मार्फत टाढाको सत्र व्यवस्थापन
• पहुँच सेवाहरू प्रयोग गरेर स्क्रिनसट खिच्ने
• अनुप्रयोग नियन्त्रण, अनुप्रयोगहरू सुरु गर्ने वा प्रतिबन्धहरू हटाउने सहित
• कालो स्क्रिन ओभरले र अडियो म्यूट गर्ने जस्ता प्रयोगकर्ता छलकपटका युक्तिहरू
• अज्ञात स्रोतहरूबाट जबरजस्ती स्थापना र नक्कली प्रयोगकर्ता अन्तरक्रियाहरू

यो व्यापक आदेश सेटले आक्रमणकारीहरूलाई सम्झौता गरिएका उपकरणहरूमाथि निरन्तर र गोप्य नियन्त्रण कायम राख्न सक्षम बनाउँछ।

छल्ने रणनीति र वातावरण जागरूकता

पर्सियसले पत्ता लगाउनबाट बच्न उन्नत एन्टी-विश्लेषण प्रविधिहरू समावेश गर्दछ। यसले डिबगिङ उपकरणहरू पहिचान गर्ने, सिम कार्डको उपस्थिति प्रमाणित गर्ने, स्थापित अनुप्रयोग गणनाहरूको विश्लेषण गर्ने, र वास्तविक उपकरणमा कार्यान्वयन पुष्टि गर्न ब्याट्री मेट्रिक्स प्रमाणित गर्ने सहित व्यापक वातावरण जाँचहरू गर्दछ।

मालवेयरले यो डेटालाई 'शंकास्पद स्कोर' मा एकत्रित गर्छ, जुन C2 सर्भरमा प्रसारित हुन्छ। यस स्कोरको आधारमा, अपरेटरहरूले थप शोषणको साथ अगाडि बढ्ने वा पत्ता लगाउनबाट बच्न निष्क्रिय रहने निर्णय गर्छन्।

रणनीतिक प्रभावहरू: विकास मार्फत दक्षता

पर्सियसले एन्ड्रोइड मालवेयरको निरन्तर विकासको उदाहरण दिन्छ, जहाँ नयाँ खतराहरू स्क्र्याचबाट विकसित हुनुको सट्टा अवस्थित फ्रेमवर्कहरूमा बढ्दो रूपमा निर्माण हुन्छन्। सेर्बेरस र फिनिक्सबाट वंशानुगत क्षमताहरूलाई नोट निगरानी र सुधारिएको रिमोट कन्ट्रोल जस्ता लक्षित वृद्धिहरूसँग संयोजन गरेर, पर्सियसले दक्षता र नवीनता बीच सन्तुलन प्राप्त गर्दछ।

यो दृष्टिकोणले साइबर अपराधमा फराकिलो प्रवृत्तिलाई प्रतिबिम्बित गर्दछ: अनुकूलन क्षमता, स्केलेबिलिटी, र उच्च-मूल्य डेटा निकासीको प्राथमिकता, जसले आधुनिक मालवेयर अभियानहरूलाई अझ प्रभावकारी र पत्ता लगाउन गाह्रो बनाउँछ।