Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie Perseus Banking Malware

Perseus Banking Malware

Do Mezo w Mobilne złośliwe oprogramowanie, Trojan bankowy
Przetłumacz na:

Analitycy ds. cyberbezpieczeństwa zidentyfikowali nową rodzinę złośliwego oprogramowania dla systemu Android, znaną jako Perseus Android, aktywnie wdrażaną w celu umożliwienia przejęcia kontroli nad urządzeniem (DTO) i dokonywania oszustw finansowych. Zagrożenie to stanowi istotną ewolucję w dziedzinie złośliwego oprogramowania mobilnego, łącząc sprawdzone techniki ze zwiększoną elastycznością operacyjną.

Ewolucja z potwierdzonych linii złośliwego oprogramowania

Perseus opiera się na podstawach złośliwego oprogramowania Cerberus i Phoenix Android, znanych trojanów bankowych dla Androida. Cerberus, po raz pierwszy udokumentowany w sierpniu 2019 roku, wykorzystywał usługi ułatwień dostępu Androida do eskalacji uprawnień, gromadzenia poufnych danych i przeprowadzania ataków nakładkowych w celu kradzieży danych uwierzytelniających. Po wycieku kodu źródłowego w 2020 roku pojawiło się wiele pochodnych, w tym Alien, ERMAC i Phoenix.

Perseus rozszerza bazę kodu Phoenix, ewoluując w bardziej adaptacyjną i wydajną platformę. Wskaźniki takie jak rozbudowane logowanie w aplikacji i nietypowe artefakty kodu sugerują, że atakujący mogli korzystać z pomocy LLM (Large Language Model) podczas rozwoju.

Wektor infekcji: inżynieria społeczna za pośrednictwem aplikacji IPTV

Strategia dystrybucji w dużej mierze opiera się na socjotechnice. Perseus jest dostarczany za pośrednictwem aplikacji typu dropper hostowanych na stronach phishingowych, często podszywających się pod usługi IPTV. To podejście jest odzwierciedleniem kampanii powiązanych ze złośliwym oprogramowaniem Massiv Android, wymierzonym w użytkowników poszukujących nieautoryzowanego dostępu do treści premium przesyłanych strumieniowo.

Umieszczając złośliwe oprogramowanie w pozornie legalnych aplikacjach IPTV, atakujący zmniejszają podejrzliwość użytkowników i znacznie zwiększają skuteczność infekcji. Kampania była skierowana głównie do użytkowników z wielu regionów, w tym Turcji, Włoch, Polski, Niemiec, Francji, Zjednoczonych Emiratów Arabskich i Portugalii.

Łańcuch wdrażania złośliwego oprogramowania i znane artefakty

Zidentyfikowano kilka zastosowań w ramach ekosystemu dystrybucji Perseusa:

  • Roja App Directa (com.xcvuc.ocnsxn) – aplikacja Dropper
  • TvTApp (com.tvtapps.live) – główny ładunek Perseusza
  • PolBox Tv (com.streamview.players) – wariant z dodatkowym ładunkiem

Aplikacje te stanowią punkty wejścia umożliwiające instalację złośliwego oprogramowania na zainfekowanych urządzeniach.

Zaawansowane możliwości przejmowania urządzeń

Perseus wykorzystuje usługi ułatwień dostępu Androida do nawiązywania sesji zdalnych, umożliwiając monitorowanie w czasie rzeczywistym i precyzyjną interakcję z zainfekowanymi urządzeniami. Ta funkcjonalność pozwala na pełne przejęcie kontroli nad urządzeniem, dając atakującym szeroką kontrolę nad aktywnością użytkownika.

W przeciwieństwie do tradycyjnych trojanów bankowych, Perseus wykracza poza zbieranie danych uwierzytelniających, aktywnie monitorując aplikacje do robienia notatek. Takie zachowanie wskazuje na celowe ukierunkowanie na wydobycie cennych danych osobowych i finansowych, które mogą nie być przechowywane w konwencjonalnych polach danych uwierzytelniających.

Podstawowe techniki ataku: nakładanie i przechwytywanie danych wejściowych

Po aktywacji Perseus wykorzystuje sprawdzone techniki złośliwego oprogramowania bankowego dla systemu Android. Przeprowadza ataki typu overlay, wyświetlając fałszywe interfejsy na legalnych aplikacjach bankowych i kryptowalutowych, przechwytując dane uwierzytelniające użytkowników w czasie rzeczywistym. Dodatkowo, rejestrowanie naciśnięć klawiszy służy do przechwytywania poufnych danych wejściowych w momencie ich wprowadzania.

Operacje dowodzenia i kontroli: Struktura zdalnej manipulacji

Złośliwe oprogramowanie jest kontrolowane za pomocą infrastruktury typu command-and-control (C2), która umożliwia operatorom wydawanie poleceń, manipulowanie zachowaniem urządzeń i autoryzowanie oszukańczych transakcji. Do najważniejszych obsługiwanych poleceń należą:

  • Ekstrakcja danych i nadzór (np. przechwytywanie notatek z aplikacji takich jak Google Keep, Evernote i Microsoft OneNote)
  • Zdalne zarządzanie sesjami za pośrednictwem VNC i HVNC w celu umożliwienia interakcji z interfejsem użytkownika w czasie rzeczywistym lub w sposób ustrukturyzowany
  • Zrzut ekranu z wykorzystaniem usług ułatwień dostępu
  • Kontrola aplikacji, w tym uruchamianie aplikacji lub usuwanie ograniczeń
  • Taktyki oszukiwania użytkowników, takie jak nakładki na czarny ekran i wyciszanie dźwięku
  • Wymuszona instalacja z nieznanych źródeł i symulowane interakcje użytkownika

Ten kompleksowy zestaw poleceń umożliwia atakującym zachowanie stałej i ukrytej kontroli nad zainfekowanymi urządzeniami.

Taktyki unikania i świadomość środowiskowa

Perseus wykorzystuje zaawansowane techniki anty-analizy, aby uniknąć wykrycia. Przeprowadza rozbudowane kontrole środowiska, w tym identyfikuje narzędzia debugowania, weryfikuje obecność karty SIM, analizuje liczbę zainstalowanych aplikacji i weryfikuje wskaźniki baterii, aby potwierdzić działanie na rzeczywistym urządzeniu.

Szkodliwe oprogramowanie agreguje te dane, tworząc „wskaźnik podejrzenia”, który jest przesyłany do serwera C2. Na podstawie tego wskaźnika operatorzy decydują, czy kontynuować eksploatację, czy pozostać uśpionym, aby uniknąć wykrycia.

Implikacje strategiczne: wydajność poprzez ewolucję

Perseus jest przykładem ciągłej ewolucji złośliwego oprogramowania dla systemu Android, gdzie nowe zagrożenia są coraz częściej tworzone w oparciu o istniejące frameworki, a nie od podstaw. Łącząc odziedziczone możliwości Cerberusa i Phoenixa z ukierunkowanymi ulepszeniami, takimi jak monitorowanie notatek i ulepszone zdalne sterowanie, Perseus osiąga równowagę między wydajnością a innowacyjnością.

Podejście to odzwierciedla szerszy trend w cyberprzestępczości: priorytetowe traktowanie adaptowalności, skalowalności i ekstrakcji wartościowych danych, co sprawia, że współczesne kampanie złośliwego oprogramowania są skuteczniejsze i trudniejsze do wykrycia.

Popularne

Ledger - Wykryto podejrzaną aktywność DEX w e-mailu...

Phishing, Spam
Nieoczekiwane e-maile z doniesieniami o pilnych problemach bezpieczeństwa należy zawsze traktować z ostrożnością. Cyberprzestępcy często podszywają się pod znane marki, aby wywołać panikę i wywrzeć presję na odbiorców, zmuszając ich do szybkiego działania. Jednym z takich przykładów jest e-mail „Ledger – Wykryto podejrzaną aktywność na giełdzie DEX”. Pomimo pozornego pochodzenia od Ledgera,...

Najczęściej oglądane

Ładowanie...