Malware-ul bancar Perseus
Analiștii în domeniul securității cibernetice au identificat o nouă familie de programe malware pentru Android, cunoscută sub numele de malware Perseus Android, implementată activ pentru a permite preluarea dispozitivelor (DTO) și a executa fraude financiare. Această amenințare reprezintă o evoluție semnificativă în domeniul programelor malware pentru dispozitive mobile, combinând tehnici consacrate cu o flexibilitate operațională sporită.
Cuprins
Evoluție din linii de programe malware dovedite
Perseus este construit pe fundamentele programelor malware Cerberus și Phoenix Android, ambele troieni bancari Android bine-cunoscuți. Documentat pentru prima dată în august 2019, Cerberus a abuzat de serviciile de accesibilitate ale Android pentru a escalada privilegii, a colecta date sensibile și a implementa atacuri overlay pentru furtul de acreditări. După ce codul său sursă a fost scurs în 2020, au apărut mai multe derivate, inclusiv Alien, ERMAC și Phoenix.
Perseus extinde baza de cod Phoenix, evoluând într-o platformă mai adaptabilă și mai capabilă. Indicatori precum înregistrarea extinsă în aplicație și artefactele neobișnuite ale codului sugerează că actorii vulnerabili ar fi putut utiliza asistența modelului de limbaj mare (LLM) în timpul dezvoltării.
Vector de infecție: Inginerie socială prin aplicații IPTV
Strategia de distribuție se bazează în mare măsură pe inginerie socială. Perseus este livrat prin intermediul unor aplicații dropper găzduite pe site-uri web de phishing, adesea deghizate în servicii IPTV. Această abordare reflectă campaniile asociate cu programe malware Massiv Android, care vizează utilizatorii care doresc acces neautorizat la conținut premium în streaming.
Prin integrarea de sarcini rău intenționate în aplicații IPTV aparent legitime, atacatorii reduc suspiciunile utilizatorilor și cresc semnificativ ratele de succes ale infectărilor. Campania a vizat în principal utilizatori din mai multe regiuni, inclusiv Turcia, Italia, Polonia, Germania, Franța, Emiratele Arabe Unite și Portugalia.
Lanțul de implementare a programelor malware și artefactele cunoscute
Mai multe aplicații au fost identificate ca parte a ecosistemului de distribuție Perseus:
- Roja App Directa (com.xcvuc.ocnsxn) – Aplicație Dropper
- TvTApp (com.tvtapps.live) – Sarcina utilă principală Perseus
- PolBox Tv (com.streamview.players) – Variantă secundară de sarcină utilă
Aceste aplicații servesc drept puncte de intrare pentru instalarea programelor malware pe dispozitivele compromise.
Capacități avansate de preluare a dispozitivelor
Perseus utilizează serviciile de accesibilitate Android pentru a stabili sesiuni la distanță, permițând monitorizarea în timp real și interacțiunea precisă cu dispozitivele infectate. Această funcționalitate permite preluarea completă a controlului asupra dispozitivelor, oferind atacatorilor un control extins asupra activității utilizatorilor.
Spre deosebire de troienii bancari tradiționali, Perseus merge dincolo de colectarea de acreditări, monitorizând activ aplicațiile de luare de notițe. Acest comportament indică o concentrare deliberată pe extragerea de informații personale și financiare de mare valoare, care ar putea să nu fie stocate în câmpurile de acreditări convenționale.
Tehnici de atac central: Suprapunere și interceptare de intrare
Odată activ, Perseus folosește tehnici de malware bancar Android bine stabilite. Lansează atacuri suprapuse pentru a afișa interfețe frauduloase peste aplicații bancare și de criptomonedă legitime, captând acreditările utilizatorilor în timp real. În plus, înregistrarea apăsărilor de taste este utilizată pentru a intercepta datele sensibile de intrare pe măsură ce acestea sunt introduse.
Operațiuni de comandă și control: Cadrul de manipulare la distanță
Malware-ul este controlat printr-o infrastructură de comandă și control (C2), permițând operatorilor să emită comenzi, să manipuleze comportamentul dispozitivelor și să autorizeze tranzacții frauduloase. Printre comenzile cheie acceptate se numără:
- Extragerea și supravegherea datelor (de exemplu, capturarea notițelor din aplicații precum Google Keep, Evernote și Microsoft OneNote)
- Gestionarea sesiunilor la distanță prin VNC și HVNC pentru interacțiune în timp real sau structurată cu interfața utilizator
- Captură de ecran folosind serviciile de accesibilitate
- Controlul aplicațiilor, inclusiv lansarea aplicațiilor sau eliminarea restricțiilor
- Tactici de înșelare a utilizatorilor, cum ar fi suprapunerile de ecran negru și dezactivarea sunetului
- Instalare forțată din surse necunoscute și interacțiuni simulate cu utilizatorii
Acest set cuprinzător de comenzi permite atacatorilor să mențină controlul persistent și ascuns asupra dispozitivelor compromise.
Tactici de evitare și conștientizare a mediului
Perseus încorporează tehnici avansate de anti-analiză pentru a evita detectarea. Efectuează verificări extinse ale mediului, inclusiv identificarea instrumentelor de depanare, verificarea prezenței cartelei SIM, analizarea numărului de aplicații instalate și validarea valorilor bateriei pentru a confirma execuția pe un dispozitiv real.
Malware-ul agregă aceste date într-un „scor de suspiciuni”, care este transmis serverului C2. Pe baza acestui scor, operatorii decid dacă să continue exploatarea sau să rămână inactivi pentru a evita detectarea.
Implicații strategice: Eficiență prin evoluție
Perseus exemplifică evoluția continuă a programelor malware pentru Android, unde noile amenințări sunt din ce în ce mai mult construite pe baza unor framework-uri existente, în loc să fie dezvoltate de la zero. Prin combinarea capabilităților moștenite de la Cerberus și Phoenix cu îmbunătățiri specifice, cum ar fi monitorizarea notelor și controlul de la distanță îmbunătățit, Perseus atinge un echilibru între eficiență și inovație.
Această abordare reflectă o tendință mai amplă în criminalitatea cibernetică: prioritizarea adaptabilității, scalabilității și extragerii datelor de mare valoare, ceea ce face ca campaniile malware moderne să fie mai eficiente și mai greu de detectat.
