Злонамерни софтвер за банкарство Perseus
Аналитичари сајбер безбедности идентификовали су нову породицу Андроид малвера познату као Персеус Андроид малвер, који се активно користи како би омогућио преузимање уређаја (DTO) и извршавао финансијске преваре. Ова претња представља значајну еволуцију у мобилном малверу, комбинујући успостављене технике са побољшаном оперативном флексибилношћу.
Преглед садржаја
Еволуција од доказаних порекла злонамерног софтвера
Персеј је изграђен на темељима злонамерног софтвера Cerberus и злонамерног софтвера Phoenix за Андроид, оба добро позната тројанца за Андроид банкарство. Први пут документован у августу 2019. године, Cerberus је злоупотребљавао Андроидове услуге приступачности како би ескалирао привилегије, прикупљао осетљиве податке и примењивао преклапајуће нападе за крађу акредитива. Након што је његов изворни код процурио 2020. године, појавило се више деривата, укључујући Alien, ERMAC и Phoenix.
Персеј проширује кодну базу Феникса, развијајући се у прилагодљивију и способнију платформу. Индикатори као што су опсежно евидентирање у апликацији и необични артефакти кода указују на то да су актери претњи можда искористили помоћ модела великих језика (LLM) током развоја.
Вектор инфекције: Социјални инжењеринг путем IPTV апликација
Стратегија дистрибуције се у великој мери ослања на друштвени инжењеринг. Персеј се испоручује путем апликација за спуштање података које се налазе на фишинг веб-сајтовима, често прерушеним у IPTV услуге. Овај приступ одражава кампање повезане са злонамерним софтвером Massiv Android, усмереним на кориснике који траже неовлашћени приступ премијум стримованом садржају.
Уграђивањем злонамерних садржаја у наизглед легитимне IPTV апликације, нападачи смањују сумњу корисника и значајно повећавају стопу успешности инфекције. Кампања је првенствено усмерила кориснике у више региона, укључујући Турску, Италију, Пољску, Немачку, Француску, Уједињене Арапске Емирате и Португал.
Ланац имплементације злонамерног софтвера и познати артефакти
Неколико апликација је идентификовано као део екосистема дистрибуције Персеуса:
- Роја Апп Дирецта (цом.кцвуц.оцнскн) – Апликација Дроппер
- TvTApp (com.tvtapps.live) – Примарни Персејев терет
- PolBox Tv (com.streamview.players) – Варијанта секундарног корисног оптерећења
Ове апликације служе као улазне тачке за инсталирање злонамерног софтвера на угрожене уређаје.
Напредне могућности преузимања уређаја
Персеј користи Андроид сервисе за приступачност како би успоставио удаљене сесије, омогућавајући праћење у реалном времену и прецизну интеракцију са зараженим уређајима. Ова функционалност омогућава потпуно преузимање контроле над уређајем, дајући нападачима широку контролу над активностима корисника.
За разлику од традиционалних банкарских тројанаца, Персеј иде даље од пуког прикупљања података о акредитивима тако што активно прати апликације за вођење белешки. Ово понашање указује на намерни фокус на издвајање вредних личних и финансијских информација које се можда не чувају у конвенционалним пољима за акредитиве.
Технике основног напада: Преклапање и пресретање уноса
Када је активан, Персеј користи добро успостављене технике злонамерног софтвера за Андроид банкарство. Покреће преклапајуће нападе како би приказао лажне интерфејсе преко легитимних банкарских и криптовалутних апликација, снимајући корисничке акредитиве у реалном времену. Поред тога, евидентирање откуцаја тастера се користи за пресретање осетљивих улазних података док се уносе.
Операције командовања и контроле: Оквир за даљинску манипулацију
Злонамерни софтвер се контролише путем командно-контролне (C2) инфраструктуре, што омогућава оператерима да издају команде, манипулишу понашањем уређаја и одобравају преварне трансакције. Кључне подржане команде укључују:
- Екстракција података и надзор (нпр. снимање белешки из апликација као што су Google Keep, Evernote и Microsoft OneNote)
- Удаљено управљање сесијама путем VNC-а и HVNC-а за интеракцију у реалном времену или структурирану интерфејс корисничког интерфејса
- Снимање екрана помоћу услуга приступачности
- Контрола апликација, укључујући покретање апликација или уклањање ограничења
- Тактике обмане корисника као што су преклапања црног екрана и искључивање звука
- Присилна инсталација из непознатих извора и симулиране интеракције корисника
Овај свеобухватни скуп команди омогућава нападачима да одрже трајну и прикривену контролу над угроженим уређајима.
Тактике избегавања и свест о окружењу
Персеј укључује напредне технике анти-аналитике како би избегао откривање. Обавља опсежне провере окружења, укључујући идентификацију алата за отклањање грешака, проверу присуства СИМ картице, анализу броја инсталираних апликација и валидацију метрика батерије како би се потврдило извршавање на стварном уређају.
Злонамерни софтвер агрегира ове податке у „резултат сумње“, који се преноси на C2 сервер. На основу овог резултата, оператери одлучују да ли да наставе са даљом експлоатацијом или да остану неактивни како би избегли откривање.
Стратешке импликације: Ефикасност кроз еволуцију
Персеј је пример континуиране еволуције Андроид малвера, где се нове претње све више граде на постојећим оквирима, уместо да се развијају од нуле. Комбиновањем наслеђених могућности из Церберуса и Феникса са циљаним побољшањима, као што су праћење белешки и побољшано даљинско управљање, Персеј постиже равнотежу између ефикасности и иновативности.
Овај приступ одражава шири тренд у сајбер криминалу: давање приоритета прилагодљивости, скалабилности и екстракцији података високе вредности, што модерне кампање злонамерног софтвера чини ефикаснијим и тежим за откривање.
