Multilicenčná zľavová ponuka
Databáza hrozieb Mobilný malvér Malvér pre bankovníctvo Perseus

Malvér pre bankovníctvo Perseus

Do roku Mezo v roku Mobilný malvér, Bankový trójsky kôň
Preložiť do:

Analytici kybernetickej bezpečnosti identifikovali novú rodinu malvéru pre Android známu ako malvér Perseus Android, ktorý sa aktívne nasadzuje na umožnenie prevzatia kontroly nad zariadeniami (DTO) a vykonávania finančných podvodov. Táto hrozba predstavuje významný vývoj v oblasti mobilného malvéru a kombinuje zavedené techniky so zvýšenou operačnou flexibilitou.

Vývoj z overených rodokmeňov malvéru

Perseus je postavený na základoch malvéru Cerberus a malvéru Phoenix pre Android, oboch známych trójskych koní pre bankovníctvo pre Android. Cerberus, ktorý bol prvýkrát zdokumentovaný v auguste 2019, zneužíval služby prístupnosti systému Android na zvyšovanie privilégií, zhromažďovanie citlivých údajov a nasadzovanie prekrývajúcich útokov na krádež poverení. Po úniku jeho zdrojového kódu v roku 2020 sa objavilo viacero derivátov vrátane Alien, ERMAC a Phoenix.

Perseus rozširuje kódovú základňu Phoenixu a vyvíja sa do prispôsobivejšej a výkonnejšej platformy. Indikátory, ako je rozsiahle protokolovanie v aplikácii a nezvyčajné artefakty kódu, naznačujú, že útočníci mohli počas vývoja využiť pomoc s modelmi veľkých jazykov (LLM).

Vektor infekcie: Sociálne inžinierstvo prostredníctvom IPTV aplikácií

Distribučná stratégia sa vo veľkej miere spolieha na sociálne inžinierstvo. Perseus sa distribuuje prostredníctvom aplikácií typu dropper hostovaných na phishingových webových stránkach, často maskovaných ako IPTV služby. Tento prístup odráža kampane spojené so škodlivým softvérom Massiv pre Android a zameriava sa na používateľov, ktorí hľadajú neoprávnený prístup k prémiovému streamovanému obsahu.

Vložením škodlivého obsahu do zdanlivo legitímnych IPTV aplikácií útočníci znižujú podozrievavosť používateľov a výrazne zvyšujú mieru úspešnosti infekcie. Kampaň sa primárne zamerala na používateľov vo viacerých regiónoch vrátane Turecka, Talianska, Poľska, Nemecka, Francúzska, Spojených arabských emirátov a Portugalska.

Reťazec nasadenia malvéru a známe artefakty

Ako súčasť distribučného ekosystému Perseus bolo identifikovaných niekoľko aplikácií:

  • Roja App Directa (com.xcvuc.ocnsxn) – Aplikácia Dropper
  • TvTApp (com.tvtapps.live) – Primárne užitočné zaťaženie Perseus
  • PolBox Tv (com.streamview.players) – variant sekundárneho užitočného zaťaženia

Tieto aplikácie slúžia ako vstupné body pre inštaláciu škodlivého softvéru na napadnuté zariadenia.

Pokročilé možnosti prevzatia ovládania zariadení

Perseus využíva služby prístupnosti systému Android na nadviazanie vzdialených relácií, čo umožňuje monitorovanie v reálnom čase a presnú interakciu s infikovanými zariadeniami. Táto funkcia umožňuje úplné prevzatie kontroly nad zariadením a útočníkom poskytuje rozsiahlu kontrolu nad aktivitou používateľov.

Na rozdiel od tradičných bankových trójskych koní, Perseus ide nad rámec zberu poverení aktívnym monitorovaním aplikácií na zapisovanie poznámok. Toto správanie naznačuje zámerné zameranie na extrakciu vysokocenných osobných a finančných informácií, ktoré nemusia byť uložené v konvenčných poliach poverení.

Techniky základného útoku: Prekrytie a zachytenie vstupu

Keď je Perseus aktívny, využíva osvedčené techniky malvéru pre bankovníctvo v systéme Android. Spúšťa prekrývajúce útoky na zobrazenie podvodných rozhraní cez legitímne bankové a kryptomenové aplikácie a zaznamenáva prihlasovacie údaje používateľov v reálnom čase. Okrem toho sa na zachytenie citlivých vstupných údajov pri ich zadávaní používa zaznamenávanie stlačení klávesov.

Operácie velenia a riadenia: Rámec pre diaľkovú manipuláciu

Škodlivý softvér je ovládaný prostredníctvom infraštruktúry velenia a riadenia (C2), ktorá umožňuje operátorom vydávať príkazy, manipulovať so správaním zariadení a autorizovať podvodné transakcie. Medzi kľúčové podporované príkazy patria:

  • Extrakcia údajov a sledovanie (napr. zaznamenávanie poznámok z aplikácií ako Google Keep, Evernote a Microsoft OneNote)
  • Vzdialená správa relácií cez VNC a HVNC pre interakciu v reálnom čase alebo štruktúrovanú interakciu s používateľským rozhraním
  • Zhotovenie snímky obrazovky pomocou služieb prístupnosti
  • Ovládanie aplikácií vrátane spúšťania aplikácií alebo odstraňovania obmedzení
  • Taktiky klamania používateľov, ako sú prekrytia čiernej obrazovky a stlmenie zvuku
  • Nútená inštalácia z neznámych zdrojov a simulované interakcie používateľa

Táto komplexná sada príkazov umožňuje útočníkom udržiavať trvalú a skrytú kontrolu nad napadnutými zariadeniami.

Taktika úniku a povedomie o prostredí

Perseus využíva pokročilé techniky antianalýzy, aby sa vyhol detekcii. Vykonáva rozsiahle kontroly prostredia vrátane identifikácie ladiacích nástrojov, overovania prítomnosti SIM karty, analýzy počtu nainštalovaných aplikácií a overovania metrík batérie na potvrdenie spustenia na skutočnom zariadení.

Škodlivý softvér zhromažďuje tieto údaje do „skóre podozrenia“, ktoré sa prenáša na server C2. Na základe tohto skóre operátori rozhodnú, či budú pokračovať v ďalšom zneužívaní alebo či zostanú neaktívni, aby sa vyhli odhaleniu.

Strategické dôsledky: Efektívnosť prostredníctvom evolúcie

Perseus je príkladom prebiehajúceho vývoja malvéru pre Android, kde sa nové hrozby čoraz viac budujú na existujúcich rámcoch, než aby sa vyvíjali od nuly. Kombináciou zdedených funkcií z Cerberusu a Phoenixu s cielenými vylepšeniami, ako je monitorovanie poznámok a vylepšené diaľkové ovládanie, Perseus dosahuje rovnováhu medzi efektivitou a inováciou.

Tento prístup odráža širší trend v kyberkriminalite: uprednostňovanie prispôsobivosti, škálovateľnosti a extrakcie vysokohodnotných údajov, vďaka čomu sú moderné kampane so škodlivým softvérom efektívnejšie a ťažšie ich odhaliť.

Trendy

Váš účet bude deaktivovaný - e-mailový podvod

Phishing, Spam
Zostať ostražitý pri riešení neočakávaných e-mailov je nevyhnutné na ochranu osobných údajov a online účtov. Kyberzločinci často maskujú phishingové správy ako urgentné oznámenia, aby donútili príjemcov konať rýchlo bez overenia ich pravosti. Jedným z takýchto príkladov je e-mailový podvod s názvom „Váš účet bude deaktivovaný“. Bezpečnostná analýza ukazuje, že tieto správy nie sú spojené so...

Ledger - Zistená podozrivá aktivita na DEX -...

Phishing, Spam
Neočakávané e-maily, ktoré tvrdia, že majú naliehavé bezpečnostné problémy, by sa mali vždy brať opatrne. Kyberzločinci sa často vydávajú za známe značky, aby vyvolali paniku a donútili príjemcov, aby rýchlo konali. Jedným z takýchto príkladov je takzvaný e-mail s názvom „Ledger - Zistená podozrivá aktivita na DEX“. Napriek tomu, že správy vyzerajú, že pochádzajú od spoločnosti Ledger, nie sú...

Najviac videné

Načítava...