Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware Perseus Banking Malware

Perseus Banking Malware

Tegen Mezo in Mobiele malware, Bankieren Trojan
Vertalen naar:

Cybersecurity-analisten hebben een nieuwe Android-malwarefamilie geïdentificeerd, bekend als Perseus Android-malware, die actief wordt ingezet om apparaatovername (DTO) mogelijk te maken en financiële fraude te plegen. Deze dreiging vertegenwoordigt een aanzienlijke evolutie in mobiele malware, waarbij gevestigde technieken worden gecombineerd met verbeterde operationele flexibiliteit.

Evolutie vanuit bewezen malware-afstammingslijnen

Perseus is gebouwd op de basis van de Cerberus-malware en de Phoenix Android-malware, beide bekende Android-banktrojans. Cerberus, voor het eerst gedocumenteerd in augustus 2019, misbruikte de toegankelijkheidsdiensten van Android om privileges te verhogen, gevoelige gegevens te verzamelen en overlay-aanvallen uit te voeren voor het stelen van inloggegevens. Nadat de broncode in 2020 uitlekte, doken er meerdere afgeleide varianten op, waaronder Alien, ERMAC en Phoenix.

Perseus breidt de Phoenix-codebasis uit en evolueert naar een flexibeler en krachtiger platform. Indicatoren zoals uitgebreide in-app-logging en ongebruikelijke code-artefacten suggereren dat cybercriminelen mogelijk gebruik hebben gemaakt van ondersteuning door grote taalmodellen (LLM's) tijdens de ontwikkeling.

Infectievector: Social engineering via IPTV-applicaties

De distributiestrategie is sterk gebaseerd op social engineering. Perseus wordt verspreid via dropper-applicaties die gehost worden op phishingwebsites, vaak vermomd als IPTV-diensten. Deze aanpak is vergelijkbaar met campagnes die geassocieerd worden met de Massiv Android-malware, gericht op gebruikers die ongeautoriseerde toegang tot premium streamingcontent zoeken.

Door schadelijke software te verbergen in ogenschijnlijk legitieme IPTV-apps, verminderen aanvallers het wantrouwen van gebruikers en verhogen ze de kans op een succesvolle infectie aanzienlijk. De campagne richtte zich voornamelijk op gebruikers in verschillende regio's, waaronder Turkije, Italië, Polen, Duitsland, Frankrijk, de Verenigde Arabische Emiraten en Portugal.

Malware-distributieketen en bekende artefacten

Er zijn verschillende toepassingen geïdentificeerd als onderdeel van het Perseus-distributiesysteem:

  • Roja App Directa (com.xcvuc.ocnsxn) - Dropper-applicatie
  • TvTApp (com.tvtapps.live) – Primaire Perseus-payload
  • PolBox Tv (com.streamview.players) – Secundaire payloadvariant

Deze applicaties dienen als toegangspunten voor het installeren van malware op geïnfecteerde apparaten.

Geavanceerde mogelijkheden voor het overnemen van apparaten

Perseus maakt gebruik van Android-toegankelijkheidsdiensten om sessies op afstand tot stand te brengen, waardoor realtime monitoring en nauwkeurige interactie met geïnfecteerde apparaten mogelijk is. Deze functionaliteit maakt volledige overname van het apparaat mogelijk, waardoor aanvallers uitgebreide controle krijgen over de activiteiten van de gebruiker.

In tegenstelling tot traditionele banktrojans gaat Perseus verder dan het verzamelen van inloggegevens door actief notitie-apps te monitoren. Dit gedrag duidt op een doelbewuste focus op het extraheren van waardevolle persoonlijke en financiële informatie die mogelijk niet in conventionele inlogvelden is opgeslagen.

Kernaanvalstechnieken: Overlay en inputonderschepping

Eenmaal actief, maakt Perseus gebruik van bekende malwaretechnieken voor Android-bankieren. Het voert overlay-aanvallen uit om frauduleuze interfaces over legitieme bank- en cryptovaluta-applicaties weer te geven, waarbij gebruikersgegevens in realtime worden vastgelegd. Daarnaast wordt gebruikgemaakt van keylogging om gevoelige invoergegevens te onderscheppen zodra deze worden ingevoerd.

Command-and-control-operaties: Kader voor manipulatie op afstand

De malware wordt aangestuurd via een command-and-control (C2)-infrastructuur, waardoor beheerders commando's kunnen geven, het gedrag van apparaten kunnen manipuleren en frauduleuze transacties kunnen autoriseren. Belangrijke ondersteunde commando's zijn onder andere:

  • Gegevensverzameling en -bewaking (bijvoorbeeld het vastleggen van notities uit apps zoals Google Keep, Evernote en Microsoft OneNote)
  • Beheer van sessies op afstand via VNC en HVNC voor realtime of gestructureerde UI-interactie.
  • Schermafbeelding maken met behulp van toegankelijkheidsdiensten
  • Applicatiebeheer, inclusief het starten van apps of het opheffen van beperkingen.
  • Tactieken om gebruikers te misleiden, zoals zwarte schermoverlays en het dempen van het geluid.
  • Geforceerde installatie vanuit onbekende bronnen en gesimuleerde gebruikersinteracties.

Deze uitgebreide set commando's stelt aanvallers in staat om aanhoudende en heimelijke controle over gecompromitteerde apparaten te behouden.

Ontwijkingstactieken en omgevingsbewustzijn

Perseus maakt gebruik van geavanceerde anti-analysetechnieken om detectie te omzeilen. Het voert uitgebreide omgevingscontroles uit, waaronder het identificeren van debugtools, het verifiëren van de aanwezigheid van een simkaart, het analyseren van het aantal geïnstalleerde applicaties en het valideren van batterijgegevens om te bevestigen dat de applicatie op een echt apparaat draait.

De malware verzamelt deze gegevens en stelt een 'verdachtheidsscore' samen, die naar de C2-server wordt verzonden. Op basis van deze score bepalen de aanvallers of ze doorgaan met verdere exploitatie of inactief blijven om detectie te voorkomen.

Strategische implicaties: Efficiëntie door evolutie

Perseus is een voorbeeld van de voortdurende evolutie van Android-malware, waarbij nieuwe bedreigingen steeds vaker voortbouwen op bestaande frameworks in plaats van volledig opnieuw te worden ontwikkeld. Door de overgenomen mogelijkheden van Cerberus en Phoenix te combineren met gerichte verbeteringen, zoals het monitoren van notities en verbeterde controle op afstand, bereikt Perseus een evenwicht tussen efficiëntie en innovatie.

Deze aanpak weerspiegelt een bredere trend in cybercriminaliteit: de prioriteit die wordt gegeven aan aanpassingsvermogen, schaalbaarheid en het extraheren van waardevolle gegevens, waardoor moderne malwarecampagnes effectiever en moeilijker te detecteren zijn.

Trending

Meest bekeken

Bezig met laden...