Perseus Banking Malware
Analistët e sigurisë kibernetike kanë identifikuar një familje të re programesh keqdashëse për Android të njohur si programe keqdashëse Perseus për Android, të vendosura në mënyrë aktive në natyrë për të mundësuar marrjen e kontrollit të pajisjeve (DTO) dhe për të kryer mashtrime financiare. Ky kërcënim përfaqëson një evolucion të rëndësishëm në programet keqdashëse për celularë, duke kombinuar teknikat e vendosura me fleksibilitet të përmirësuar operacional.
Tabela e Përmbajtjes
Evolucioni nga linjat e provuara të malware-it
Perseus është ndërtuar mbi themelet e malware-it Cerberus dhe malware-it Phoenix Android, të dy trojanë të njohur bankarë për Android. I dokumentuar për herë të parë në gusht 2019, Cerberus abuzoi me shërbimet e aksesueshmërisë së Android për të përshkallëzuar privilegjet, për të mbledhur të dhëna të ndjeshme dhe për të vendosur sulme mbivendosëse për vjedhjen e kredencialeve. Pasi kodi i tij burimor u rrjedh në vitin 2020, dolën derivate të shumta, duke përfshirë Alien, ERMAC dhe Phoenix.
Perseus zgjeron bazën e kodit Phoenix, duke evoluar në një platformë më të adaptueshme dhe të aftë. Tregues të tillë si regjistrimi i gjerë brenda aplikacionit dhe artefaktet e pazakonta të kodit sugjerojnë që aktorët kërcënues mund të kenë shfrytëzuar ndihmën e modelit të gjuhës së madhe (LLM) gjatë zhvillimit.
Vektori i Infeksionit: Inxhinieri Sociale nëpërmjet Aplikacioneve IPTV
Strategjia e shpërndarjes mbështetet shumë në inxhinierinë sociale. Perseus ofrohet nëpërmjet aplikacioneve dropper të vendosura në faqet e internetit të phishing-ut, shpesh të maskuara si shërbime IPTV. Kjo qasje pasqyron fushatat e lidhura me malware-in Massiv Android, që synojnë përdoruesit që kërkojnë akses të paautorizuar në përmbajtje premium transmetimi.
Duke integruar ngarkesa të dëmshme brenda aplikacioneve IPTV në dukje legjitime, sulmuesit zvogëlojnë dyshimin e përdoruesve dhe rrisin ndjeshëm shkallën e suksesit të infeksionit. Fushata ka synuar kryesisht përdoruesit në rajone të shumta, duke përfshirë Turqinë, Italinë, Poloninë, Gjermaninë, Francën, Emiratet e Bashkuara Arabe dhe Portugalinë.
Zinxhiri i Vendosjes së Malware dhe Artefaktet e Njohura
Disa aplikime janë identifikuar si pjesë e ekosistemit të shpërndarjes së Perseus:
- Roja App Directa (com.xcvuc.ocnsxn) – Aplikim Dropper
- TvTApp (com.tvtapps.live) – Ngarkesa kryesore e Perseus
- PolBox Tv (com.streamview.players) – Varianti dytësor i ngarkesës
Këto aplikacione shërbejnë si pika hyrëse për instalimin e malware-it në pajisjet e kompromentuara.
Aftësi të Avancuara për Marrjen e Pajisjeve
Perseus shfrytëzon shërbimet e aksesueshmërisë në Android për të krijuar seanca në distancë, duke mundësuar monitorim në kohë reale dhe ndërveprim të saktë me pajisjet e infektuara. Ky funksionalitet lejon marrjen e plotë të pajisjes, duke u dhënë sulmuesve kontroll të gjerë mbi aktivitetin e përdoruesit.
Ndryshe nga trojanët tradicionalë bankarë, Perseus shkon përtej mbledhjes së kredencialeve duke monitoruar në mënyrë aktive aplikacionet e marrjes së shënimeve. Kjo sjellje tregon një fokus të qëllimshëm në nxjerrjen e informacionit personal dhe financiar me vlerë të lartë që mund të mos ruhet në fushat konvencionale të kredencialeve.
Teknikat e Sulmit Thelbësor: Mbivendosja dhe Ndërprerja e Hyrjes
Pasi aktivizohet, Perseus përdor teknika të mirënjohura të malware-it bankar për Android. Ai nis sulme mbivendosëse për të shfaqur ndërfaqe mashtruese mbi aplikacione legjitime bankare dhe kriptomonedhash, duke kapur kredencialet e përdoruesit në kohë reale. Përveç kësaj, regjistrimi i shtypjes së tastierës përdoret për të kapur të dhëna të ndjeshme hyrëse ndërsa ato futen.
Operacionet e Komandës dhe Kontrollit: Korniza e Manipulimit në Distancë
Malware kontrollohet përmes një infrastrukture komandë-dhe-kontroll (C2), duke u lejuar operatorëve të lëshojnë komanda, të manipulojnë sjelljen e pajisjes dhe të autorizojnë transaksione mashtruese. Komandat kryesore të mbështetura përfshijnë:
- Nxjerrja dhe mbikëqyrja e të dhënave (p.sh., kapja e shënimeve nga aplikacione si Google Keep, Evernote dhe Microsoft OneNote)
- Menaxhim i sesioneve në distancë nëpërmjet VNC dhe HVNC për ndërveprim në kohë reale ose të strukturuar me ndërfaqen e përdoruesit.
- Kapja e ekranit të ekranit duke përdorur shërbimet e aksesueshmërisë
- Kontroll i aplikacioneve, duke përfshirë hapjen e aplikacioneve ose heqjen e kufizimeve
- Taktika mashtrimi të përdoruesit, të tilla si mbivendosjet e ekranit të zi dhe fikja e zërit
- Instalimi i detyruar nga burime të panjohura dhe ndërveprimet e simuluara të përdoruesit
Ky grup gjithëpërfshirës komandash u mundëson sulmuesve të ruajnë kontroll të vazhdueshëm dhe të fshehtë mbi pajisjet e kompromentuara.
Taktikat e Shmangies dhe Ndërgjegjësimi për Mjedisin
Perseus përfshin teknika të përparuara anti-analize për të shmangur zbulimin. Ai kryen kontrolle të gjera të mjedisit, duke përfshirë identifikimin e mjeteve të debugging-ut, verifikimin e pranisë së kartës SIM, analizimin e numrit të aplikacioneve të instaluara dhe validimin e metrikave të baterisë për të konfirmuar ekzekutimin në një pajisje të vërtetë.
Malware-i i grumbullon këto të dhëna në një 'pikë dyshimi', e cila transmetohet në serverin C2. Bazuar në këtë pikëzim, operatorët përcaktojnë nëse do të vazhdojnë me shfrytëzimin e mëtejshëm apo do të mbeten joaktivë për të shmangur zbulimin.
Implikime Strategjike: Efikasitet Përmes Evolucionit
Perseus ilustron evolucionin e vazhdueshëm të programeve keqdashëse për Android, ku kërcënimet e reja ndërtohen gjithnjë e më shumë mbi strukturat ekzistuese në vend që të zhvillohen nga e para. Duke kombinuar aftësitë e trashëguara nga Cerberus dhe Phoenix me përmirësime të synuara, të tilla si monitorimi i shënimeve dhe kontrolli i përmirësuar në distancë, Perseus arrin një ekuilibër midis efikasitetit dhe inovacionit.
Kjo qasje pasqyron një trend më të gjerë në krimin kibernetik: prioritizimin e përshtatshmërisë, shkallëzueshmërisë dhe nxjerrjes së të dhënave me vlerë të lartë, duke i bërë fushatat moderne të programeve keqdashëse më efektive dhe më të vështira për t'u zbuluar.
