Банковское вредоносное ПО Perseus
Аналитики в области кибербезопасности выявили новое семейство вредоносных программ для Android, известное как Perseus Android malware, активно используемое в сети для захвата устройства (DTO) и совершения финансовых махинаций. Эта угроза представляет собой значительный шаг вперед в развитии мобильных вредоносных программ, сочетая в себе устоявшиеся методы с расширенной оперативной гибкостью.
Оглавление
Эволюция от проверенных линий вредоносного ПО.
Perseus создан на основе вредоносных программ Cerberus и Phoenix для Android, двух хорошо известных банковских троянов для Android. Впервые задокументированный в августе 2019 года, Cerberus использовал службы специальных возможностей Android для повышения привилегий, сбора конфиденциальных данных и проведения атак через наложение для кражи учетных данных. После утечки его исходного кода в 2020 году появилось множество производных, включая Alien, ERMAC и Phoenix.
Perseus расширяет кодовую базу Phoenix, превращаясь в более адаптируемую и функциональную платформу. Такие признаки, как обширные внутриприложения логирование и необычные фрагменты кода, указывают на то, что злоумышленники могли использовать помощь больших языковых моделей (LLM) во время разработки.
Вектор заражения: социальная инженерия с помощью приложений IPTV.
Стратегия распространения в значительной степени основана на социальной инженерии. Perseus распространяется через приложения-дропперы, размещенные на фишинговых сайтах, часто замаскированные под сервисы IPTV. Этот подход аналогичен кампаниям, связанным с вредоносным ПО Massiv для Android, нацеленным на пользователей, стремящихся получить несанкционированный доступ к премиальному потоковому контенту.
Внедряя вредоносные программы в, казалось бы, легитимные IPTV-приложения, злоумышленники снижают подозрительность пользователей и значительно повышают вероятность успешного заражения. Кампания в основном нацелена на пользователей в различных регионах, включая Турцию, Италию, Польшу, Германию, Францию, Объединенные Арабские Эмираты и Португалию.
Цепочка развертывания вредоносного ПО и известные артефакты
В рамках экосистемы дистрибутива Perseus было определено несколько приложений:
- Roja App Directa (com.xcvuc.ocnsxn) – приложение Dropper
- TvTApp (com.tvtapps.live) – Основная полезная нагрузка Perseus
- PolBox TV (com.streamview.players) – вариант с дополнительной полезной нагрузкой
Эти приложения служат точками входа для установки вредоносного ПО на скомпрометированные устройства.
Расширенные возможности захвата устройств
Perseus использует службы специальных возможностей Android для установления удаленных сессий, обеспечивая мониторинг в реальном времени и точное взаимодействие с зараженными устройствами. Эта функциональность позволяет полностью захватить устройство, предоставляя злоумышленникам широкий контроль над действиями пользователя.
В отличие от традиционных банковских троянов, Perseus выходит за рамки простого сбора учетных данных, активно отслеживая приложения для ведения заметок. Такое поведение указывает на целенаправленную цель извлечения ценной личной и финансовой информации, которая может не храниться в обычных полях для ввода учетных данных.
Основные методы атаки: наложение и перехват ввода.
После активации Perseus использует хорошо зарекомендовавшие себя методы банковского вредоносного ПО для Android. Он запускает атаки с наложением интерфейса, отображая мошеннические приложения поверх легитимных банковских и криптовалютных приложений, перехватывая учетные данные пользователей в режиме реального времени. Кроме того, используется перехват нажатий клавиш для получения конфиденциальных данных по мере их ввода.
Операции управления и контроля: структура дистанционного манипулирования
Вредоносное ПО управляется через инфраструктуру управления и контроля (C2), позволяющую операторам отдавать команды, манипулировать поведением устройств и авторизовывать мошеннические транзакции. К основным поддерживаемым командам относятся:
- Извлечение и сбор данных (например, запись заметок из таких приложений, как Google Keep, Evernote и Microsoft OneNote).
- Удаленное управление сессиями через VNC и HVNC для взаимодействия с пользовательским интерфейсом в режиме реального времени или в структурированном режиме.
- Скриншот, сделанный с помощью служб специальных возможностей.
- Контроль приложений, включая запуск приложений или снятие ограничений.
- Тактика обмана пользователей, такая как наложение черного экрана и отключение звука.
- Принудительная установка из неизвестных источников и имитация взаимодействия с пользователем.
Этот всеобъемлющий набор команд позволяет злоумышленникам сохранять постоянный и скрытый контроль над скомпрометированными устройствами.
Тактика уклонения и осведомленность об окружающей обстановке
Perseus использует передовые методы защиты от анализа, чтобы избежать обнаружения. Он выполняет обширные проверки среды, включая выявление инструментов отладки, проверку наличия SIM-карты, анализ количества установленных приложений и проверку показателей заряда батареи для подтверждения выполнения на реальном устройстве.
Вредоносная программа собирает эти данные в «оценку подозрительности», которая передается на сервер управления и контроля (C2). На основе этой оценки операторы определяют, следует ли продолжать дальнейшую эксплуатацию или оставаться в спящем режиме, чтобы избежать обнаружения.
Стратегические последствия: эффективность через эволюцию
Perseus является примером продолжающейся эволюции вредоносных программ для Android, где новые угрозы все чаще создаются на основе существующих фреймворков, а не разрабатываются с нуля. Сочетая унаследованные возможности Cerberus и Phoenix с целенаправленными улучшениями, такими как мониторинг заметок и улучшенное удаленное управление, Perseus достигает баланса между эффективностью и инновациями.
Такой подход отражает более широкую тенденцию в киберпреступности: приоритет адаптивности, масштабируемости и извлечения ценных данных, что делает современные кампании по распространению вредоносного ПО более эффективными и сложными для обнаружения.
