Malware bancário Perseus
Analistas de cibersegurança identificaram uma nova família de malware para Android, conhecida como Perseus, que está sendo ativamente implantada para permitir a tomada de controle de dispositivos (DTO) e a execução de fraudes financeiras. Essa ameaça representa uma evolução significativa em malware para dispositivos móveis, combinando técnicas já estabelecidas com maior flexibilidade operacional.
Índice
Evolução a partir de linhagens de malware comprovadas
O Perseus foi construído sobre os alicerces dos malwares Cerberus e Phoenix para Android, ambos conhecidos trojans bancários para Android. Documentado pela primeira vez em agosto de 2019, o Cerberus explorou os serviços de acessibilidade do Android para escalar privilégios, coletar dados sensíveis e realizar ataques de sobreposição para roubo de credenciais. Após o vazamento de seu código-fonte em 2020, surgiram diversas variantes, incluindo Alien, ERMAC e Phoenix.
O Perseus amplia a base de código do Phoenix, evoluindo para uma plataforma mais adaptável e capaz. Indicadores como o extenso registro de logs no aplicativo e artefatos de código incomuns sugerem que agentes maliciosos podem ter se aproveitado do auxílio de um modelo de linguagem de grande porte (LLM) durante o desenvolvimento.
Vetor de infecção: Engenharia social por meio de aplicativos de IPTV
A estratégia de distribuição depende fortemente de engenharia social. O Perseus é distribuído por meio de aplicativos dropper hospedados em sites de phishing, muitas vezes disfarçados de serviços de IPTV. Essa abordagem espelha campanhas associadas ao malware Massiv para Android, que visa usuários que buscam acesso não autorizado a conteúdo de streaming premium.
Ao inserir códigos maliciosos em aplicativos de IPTV aparentemente legítimos, os atacantes reduzem a suspeita dos usuários e aumentam significativamente as taxas de sucesso da infecção. A campanha teve como alvo principal usuários em diversas regiões, incluindo Turquia, Itália, Polônia, Alemanha, França, Emirados Árabes Unidos e Portugal.
Cadeia de Implantação de Malware e Artefatos Conhecidos
Diversas aplicações foram identificadas como parte do ecossistema de distribuição do Perseus:
- Roja App Directa (com.xcvuc.ocnsxn) – Aplicativo conta-gotas
- TvTApp (com.tvtapps.live) – Carga útil primária do Perseus
- PolBox TV (com.streamview.players) – Variante de carga útil secundária
Esses aplicativos servem como pontos de entrada para a instalação do malware em dispositivos comprometidos.
Capacidades avançadas de tomada de controle de dispositivos
O Perseus utiliza os serviços de acessibilidade do Android para estabelecer sessões remotas, permitindo monitoramento em tempo real e interação precisa com dispositivos infectados. Essa funcionalidade possibilita o controle total do dispositivo, concedendo aos atacantes amplo controle sobre a atividade do usuário.
Diferentemente dos trojans bancários tradicionais, o Perseus vai além da coleta de credenciais, monitorando ativamente aplicativos de anotações. Esse comportamento indica um foco deliberado na extração de informações pessoais e financeiras valiosas que podem não estar armazenadas em campos de credenciais convencionais.
Técnicas de ataque principais: sobreposição e interceptação de entrada
Uma vez ativo, o Perseus emprega técnicas bem estabelecidas de malware bancário para Android. Ele lança ataques de sobreposição para exibir interfaces fraudulentas sobre aplicativos legítimos de bancos e criptomoedas, capturando as credenciais do usuário em tempo real. Além disso, o registro de teclas digitadas é usado para interceptar dados confidenciais inseridos no momento da digitação.
Operações de Comando e Controle: Estrutura de Manipulação Remota
O malware é controlado por meio de uma infraestrutura de comando e controle (C2), permitindo que os operadores emitam comandos, manipulem o comportamento do dispositivo e autorizem transações fraudulentas. Os principais comandos suportados incluem:
- Extração e vigilância de dados (por exemplo, captura de notas de aplicativos como Google Keep, Evernote e Microsoft OneNote)
- Gerenciamento remoto de sessões via VNC e HVNC para interação com a interface do usuário em tempo real ou estruturada.
- Captura de tela usando serviços de acessibilidade
- Controle de aplicativos, incluindo a inicialização de aplicativos ou a remoção de restrições.
- Táticas de engano do usuário, como sobreposições de tela preta e silenciamento de áudio.
- Instalação forçada a partir de fontes desconhecidas e interações simuladas do usuário.
Este conjunto abrangente de comandos permite que os atacantes mantenham controle persistente e secreto sobre dispositivos comprometidos.
Táticas de evasão e consciência ambiental
O Perseus incorpora técnicas avançadas de anti-análise para evitar a detecção. Ele realiza verificações extensivas do ambiente, incluindo a identificação de ferramentas de depuração, a verificação da presença do cartão SIM, a análise da quantidade de aplicativos instalados e a validação das métricas da bateria para confirmar a execução em um dispositivo real.
O malware agrega esses dados em uma "pontuação de suspeita", que é transmitida para o servidor C2. Com base nessa pontuação, os operadores determinam se devem prosseguir com a exploração ou permanecer inativos para evitar a detecção.
Implicações estratégicas: Eficiência por meio da evolução
O Perseus exemplifica a evolução contínua de malwares para Android, onde novas ameaças são cada vez mais construídas sobre estruturas existentes em vez de serem desenvolvidas do zero. Ao combinar recursos herdados do Cerberus e do Phoenix com melhorias específicas, como monitoramento de notas e controle remoto aprimorado, o Perseus alcança um equilíbrio entre eficiência e inovação.
Essa abordagem reflete uma tendência mais ampla no cibercrime: a priorização da adaptabilidade, da escalabilidade e da extração de dados de alto valor, tornando as campanhas de malware modernas mais eficazes e mais difíceis de detectar.
