Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara Perseus Banking Malware

Perseus Banking Malware

Med Mezo år Mobil skadlig programvara, Banktrojan
Översätt till:

Cybersäkerhetsanalytiker har identifierat en ny familj av Android-skadlig kod, känd som Perseus Android-skadlig kod, som aktivt används för att möjliggöra enhetsövertagande (DTO) och utföra ekonomiska bedrägerier. Detta hot representerar en betydande utveckling inom mobil skadlig kod, som kombinerar etablerade tekniker med förbättrad operativ flexibilitet.

Utveckling från beprövade malware-linjer

Perseus bygger på grunden av Cerberus-skadlig programvara och Phoenix Android-skadlig programvara, båda välkända Android-banktrojaner. Cerberus dokumenterades först i augusti 2019 och missbrukade Androids tillgänglighetstjänster för att eskalera privilegier, samla in känsliga uppgifter och distribuera overlay-attacker för stöld av autentiseringsuppgifter. Efter att källkoden läckte ut 2020 dök flera derivater upp, inklusive Alien, ERMAC och Phoenix.

Perseus utökar Phoenix-kodbasen och utvecklas till en mer anpassningsbar och kapabel plattform. Indikatorer som omfattande loggning i appen och ovanliga kodartefakter tyder på att hotaktörer kan ha utnyttjat hjälp från stora språkmodeller (LLM) under utvecklingen.

Infektionsvektor: Social manipulation via IPTV-applikationer

Distributionsstrategin förlitar sig starkt på social ingenjörskonst. Perseus levereras via dropper-applikationer som finns på nätfiskewebbplatser, ofta förklädda som IPTV-tjänster. Denna metod speglar kampanjer som är kopplade till Massiv Android-skadlig programvara, och riktar sig mot användare som söker obehörig åtkomst till premiumströmmande innehåll.

Genom att bädda in skadliga nyttolaster i till synes legitima IPTV-appar minskar angripare användarnas misstankar och ökar andelen framgångsrika infektioner avsevärt. Kampanjen har främst riktat sig mot användare i flera regioner, inklusive Turkiet, Italien, Polen, Tyskland, Frankrike, Förenade Arabemiraten och Portugal.

Distributionskedja för skadlig programvara och kända artefakter

Flera tillämpningar har identifierats som en del av Perseus distributionsekosystem:

  • Roja App Directa (com.xcvuc.ocnsxn) – Dropper-applikation
  • TvTApp (com.tvtapps.live) – Primär Perseus-nyttolast
  • PolBox Tv (com.streamview.players) – Sekundär nyttolastvariant

Dessa applikationer fungerar som ingångspunkter för att installera skadlig kod på komprometterade enheter.

Avancerade funktioner för enhetsövertagande

Perseus använder Androids tillgänglighetstjänster för att etablera fjärrsessioner, vilket möjliggör realtidsövervakning och exakt interaktion med infekterade enheter. Denna funktion möjliggör fullständig enhetsövertagande, vilket ger angripare omfattande kontroll över användaraktivitet.

Till skillnad från traditionella banktrojaner går Perseus längre än bara insamling av autentiseringsuppgifter genom att aktivt övervaka anteckningsapplikationer. Detta beteende indikerar ett medvetet fokus på att extrahera värdefull personlig och finansiell information som kanske inte lagras i konventionella autentiseringsuppgifter.

Kärnattacktekniker: Överlagring och inmatningsavlyssning

När Perseus väl är aktiv använder den väletablerade tekniker för skadlig kod för Android-banktjänster. Den utför overlay-attacker för att visa bedrägliga gränssnitt över legitima bank- och kryptovalutaapplikationer och samlar in användaruppgifter i realtid. Dessutom används tangenttryckningsloggning för att fånga upp känslig inmatningsdata när den matas in.

Kommando- och kontrolloperationer: Ramverk för fjärrmanipulation

Skadlig programvara kontrolleras via en kommando-och-kontrollinfrastruktur (C2), vilket gör det möjligt för operatörer att utfärda kommandon, manipulera enhetens beteende och auktorisera bedrägliga transaktioner. Viktiga kommandon som stöds inkluderar:

  • Datautvinning och övervakning (t.ex. att samla in anteckningar från appar som Google Keep, Evernote och Microsoft OneNote)
  • Fjärrstyrd sessionshantering via VNC och HVNC för interaktion i realtid eller strukturerad användargränssnitt
  • Skärmdumpstagning med hjälp av tillgänglighetstjänster
  • Programkontroll, inklusive att starta appar eller ta bort begränsningar
  • Taktiker för användarbedrägeri, såsom svarta skärmöverlägg och ljudavstängning
  • Tvingad installation från okända källor och simulerade användarinteraktioner

Denna omfattande kommandouppsättning gör det möjligt för angripare att upprätthålla beständig och hemlig kontroll över komprometterade enheter.

Undvikningstaktik och miljömedvetenhet

Perseus använder avancerade antianalystekniker för att undvika upptäckt. Den utför omfattande miljökontroller, inklusive att identifiera felsökningsverktyg, verifiera närvaro av SIM-kort, analysera antal installerade applikationer och validera batteristatistik för att bekräfta körning på en verklig enhet.

Skadlig programvara aggregerar denna data till en "misstankepoäng" som överförs till C2-servern. Baserat på denna poäng avgör operatörerna om de ska fortsätta med ytterligare utnyttjande eller förbli vilande för att undvika upptäckt.

Strategiska implikationer: Effektivitet genom utveckling

Perseus exemplifierar den pågående utvecklingen av Android-skadlig kod, där nya hot i allt högre grad bygger på befintliga ramverk snarare än utvecklas från grunden. Genom att kombinera ärvda funktioner från Cerberus och Phoenix med riktade förbättringar, såsom anteckningsövervakning och förbättrad fjärrkontroll, uppnår Perseus en balans mellan effektivitet och innovation.

Denna strategi återspeglar en bredare trend inom cyberbrottslighet: prioriteringen av anpassningsförmåga, skalbarhet och värdefull datautvinning, vilket gör moderna skadliga programkampanjer mer effektiva och svårare att upptäcka.

Trendigt

Mest sedda

Läser in...