Zlonamerna programska oprema za bančništvo Perseus
Analitiki kibernetske varnosti so odkrili novo družino zlonamerne programske opreme za Android, znano kot Perseus Android, ki se aktivno uporablja za omogočanje prevzema naprav (DTO) in izvajanje finančnih goljufij. Ta grožnja predstavlja pomemben razvoj mobilne zlonamerne programske opreme, saj združuje uveljavljene tehnike z izboljšano operativno prilagodljivostjo.
Kazalo
Razvoj iz dokazanih rodov zlonamerne programske opreme
Perseus temelji na temeljih zlonamerne programske opreme Cerberus in Phoenix za Android, obeh dobro znanih trojanskih konjev za Android. Cerberus, ki je bil prvič dokumentiran avgusta 2019, je zlorabljal storitve dostopnosti Androida za povečevanje privilegijev, zbiranje občutljivih podatkov in izvajanje napadov s prekrivanjem za krajo poverilnic. Po razkritju izvorne kode leta 2020 so se pojavile številne izpeljanke, vključno z Alien, ERMAC in Phoenix.
Perseus razširja kodno bazo Phoenix in se razvija v bolj prilagodljivo in zmogljivo platformo. Kazalniki, kot so obsežno beleženje v aplikaciji in nenavadni artefakti kode, kažejo, da so akterji grožnje med razvojem morda izkoristili pomoč velikih jezikovnih modelov (LLM).
Vektor okužbe: socialni inženiring prek aplikacij IPTV
Strategija distribucije se močno opira na socialni inženiring. Perseus se dostavlja prek aplikacij za spuščanje vsebin, ki gostujejo na spletnih mestih za lažno predstavljanje, pogosto prikritih kot storitve IPTV. Ta pristop odraža kampanje, povezane z zlonamerno programsko opremo Massiv za Android, ki ciljajo na uporabnike, ki iščejo nepooblaščen dostop do vrhunskih pretočnih vsebin.
Z vdelavo zlonamernih koristnih vsebin v na videz legitimne aplikacije IPTV napadalci zmanjšujejo sum uporabnikov in znatno povečajo stopnjo uspešnosti okužb. Kampanja je bila usmerjena predvsem na uporabnike v več regijah, vključno s Turčijo, Italijo, Poljsko, Nemčijo, Francijo, Združenimi arabskimi emirati in Portugalsko.
Veriga uvajanja zlonamerne programske opreme in znani artefakti
Kot del distribucijskega ekosistema Perseus je bilo opredeljenih več aplikacij:
- Roja App Directa (com.xcvuc.ocnsxn) – Dropper aplikacija
- TvTApp (com.tvtapps.live) – primarni koristni tovor Perzeja
- PolBox Tv (com.streamview.players) – Različica sekundarnega koristnega tovora
Te aplikacije služijo kot vstopne točke za namestitev zlonamerne programske opreme na ogrožene naprave.
Napredne zmogljivosti prevzema naprav
Perseus izkorišča storitve dostopnosti Android za vzpostavljanje oddaljenih sej, kar omogoča spremljanje v realnem času in natančno interakcijo z okuženimi napravami. Ta funkcionalnost omogoča popoln prevzem naprave in napadalcem daje obsežen nadzor nad dejavnostjo uporabnikov.
Za razliko od tradicionalnih bančnih trojancev Perseus presega zgolj zbiranje poverilnic z aktivnim spremljanjem aplikacij za beleženje. To vedenje kaže na namerno osredotočenost na pridobivanje dragocenih osebnih in finančnih podatkov, ki morda niso shranjeni v običajnih poljih za poverilnice.
Tehnike osnovnega napada: prekrivanje in prestrezanje vhodnih podatkov
Ko je Perseus aktiven, uporablja dobro uveljavljene tehnike zlonamerne programske opreme za bančništvo v sistemu Android. Izvaja prekrivne napade, s katerimi prikazuje goljufive vmesnike prek legitimnih bančnih in kriptovalutnih aplikacij ter v realnem času zajema uporabniške poverilnice. Poleg tega se za prestrezanje občutljivih vhodnih podatkov med vnosom uporablja beleženje pritiskov tipk.
Operacije vodenja in nadzora: ogrodje za oddaljeno manipulacijo
Zlonamerno programsko opremo nadzoruje infrastruktura ukazov in nadzora (C2), ki operaterjem omogoča izdajanje ukazov, manipuliranje z vedenjem naprav in avtorizacijo goljufivih transakcij. Ključni podprti ukazi vključujejo:
- Pridobivanje podatkov in nadzor (npr. zajemanje zapiskov iz aplikacij, kot so Google Keep, Evernote in Microsoft OneNote)
- Upravljanje sej na daljavo prek VNC in HVNC za interakcijo v realnem času ali strukturirano interakcijo z uporabniškim vmesnikom
- Zajem zaslona s storitvami za dostopnost
- Nadzor aplikacij, vključno z zagonom aplikacij ali odstranjevanjem omejitev
- Taktike zavajanja uporabnikov, kot so prekrivanja črnega zaslona in utišanje zvoka
- Vsiljena namestitev iz neznanih virov in simulirane interakcije uporabnikov
Ta obsežen nabor ukazov napadalcem omogoča trajen in prikrit nadzor nad ogroženimi napravami.
Taktike izogibanja in ozaveščenost o okolju
Perseus vključuje napredne tehnike protianalize, da se izogne odkrivanju. Izvaja obsežne preglede okolja, vključno z identifikacijo orodij za odpravljanje napak, preverjanjem prisotnosti kartice SIM, analizo števila nameščenih aplikacij in potrjevanjem meritev baterije za potrditev izvajanja na resnični napravi.
Zlonamerna programska oprema te podatke združi v »oceno suma«, ki se posreduje strežniku C2. Na podlagi te ocene operaterji odločijo, ali bodo nadaljevali z nadaljnjim izkoriščanjem ali bodo ostali v mirovanju, da se izognejo odkritju.
Strateške posledice: Učinkovitost skozi evolucijo
Perseus ponazarja nenehen razvoj zlonamerne programske opreme za Android, kjer se nove grožnje vse bolj gradijo na obstoječih ogrodjih in ne razvijajo iz nič. Z združevanjem podedovanih zmogljivosti Cerberusa in Phoenixa s ciljno usmerjenimi izboljšavami, kot sta spremljanje zapiskov in izboljšan daljinski nadzor, Perseus dosega ravnovesje med učinkovitostjo in inovativnostjo.
Ta pristop odraža širši trend v kibernetski kriminaliteti: dajanje prednosti prilagodljivosti, skalabilnosti in pridobivanju podatkov visoke vrednosti, zaradi česar so sodobne kampanje zlonamerne programske opreme učinkovitejše in težje zaznavne.
