Multi-License Discount Quote
Banta sa Database Mobile Malware Malware sa Pagbabangko ng Perseus

Malware sa Pagbabangko ng Perseus

Sa pamamagitan ng Mezo sa Mobile Malware, Trojan sa pagbabangko
Isalin To:

Natukoy ng mga cybersecurity analyst ang isang bagong pamilya ng Android malware na kilala bilang Perseus Android malware, na aktibong ginagamit sa iba't ibang lugar upang paganahin ang device takeover (DTO) at magsagawa ng pandaraya sa pananalapi. Ang banta na ito ay kumakatawan sa isang makabuluhang ebolusyon sa mobile malware, na pinagsasama ang mga umiiral na pamamaraan at pinahusay na kakayahang umangkop sa operasyon.

Ebolusyon mula sa Napatunayang mga Linya ng Malware

Ang Perseus ay itinayo sa pundasyon ng Cerberus malware at Phoenix Android malware, parehong kilalang Android banking trojan. Unang naitala noong Agosto 2019, inabuso ng Cerberus ang mga serbisyo ng accessibility ng Android upang i-escalate ang mga pribilehiyo, mangolekta ng sensitibong data, at mag-deploy ng mga overlay attack para sa pagnanakaw ng kredensyal. Matapos lumabas ang source code nito noong 2020, maraming derivatives ang lumitaw, kabilang ang Alien, ERMAC, at Phoenix.

Pinalalawak ni Perseus ang Phoenix codebase, na umuunlad tungo sa isang mas madaling ibagay at may kakayahang plataporma. Ang mga indikasyon tulad ng malawak na in-app logging at hindi pangkaraniwang mga artifact ng code ay nagmumungkahi na ang mga threat actor ay maaaring gumamit ng tulong sa large language model (LLM) habang binubuo.

Vector ng Impeksyon: Social Engineering sa pamamagitan ng mga Aplikasyon ng IPTV

Ang estratehiya sa pamamahagi ay lubos na nakasalalay sa social engineering. Ang Perseus ay inihahatid sa pamamagitan ng mga dropper application na naka-host sa mga phishing website, na kadalasang nagkukunwaring mga serbisyo ng IPTV. Ang pamamaraang ito ay sumasalamin sa mga kampanyang nauugnay sa Massiv Android malware, na tinatarget ang mga user na naghahanap ng hindi awtorisadong access sa premium streaming content.

Sa pamamagitan ng paglalagay ng mga malisyosong payload sa loob ng tila lehitimong mga IPTV app, binabawasan ng mga umaatake ang hinala ng gumagamit at lubos na pinapataas ang mga rate ng tagumpay ng impeksyon. Pangunahing tinarget ng kampanya ang mga gumagamit sa maraming rehiyon, kabilang ang Turkey, Italy, Poland, Germany, France, United Arab Emirates, at Portugal.

Malware Deployment Chain at mga Kilalang Artifact

Maraming aplikasyon ang natukoy bilang bahagi ng ecosystem ng distribusyon ng Perseus:

  • Roja App Directa (com.xcvuc.ocnsxn) – Dropper application
  • TvTApp (com.tvtapps.live) – Pangunahing kargamento ng Perseus
  • PolBox Tv (com.streamview.players) – Pangalawang variant ng payload

Ang mga application na ito ay nagsisilbing mga entry point para sa pag-install ng malware sa mga nakompromisong device.

Mga Kakayahan sa Pagkuha ng Device na Mas Mahusay

Ginagamit ng Perseus ang mga serbisyo ng accessibility ng Android upang magtatag ng mga malayuang sesyon, na nagbibigay-daan sa real-time na pagsubaybay at tumpak na pakikipag-ugnayan sa mga nahawaang device. Ang functionality na ito ay nagbibigay-daan sa ganap na pagkuha ng device, na nagbibigay sa mga umaatake ng malawak na kontrol sa aktibidad ng user.

Hindi tulad ng mga tradisyunal na trojan sa pagbabangko, ang Perseus ay higit pa sa pagkuha ng kredensyal sa pamamagitan ng aktibong pagsubaybay sa mga aplikasyon sa pagkuha ng tala. Ang pag-uugaling ito ay nagpapahiwatig ng sinasadyang pagtuon sa pagkuha ng mga mahahalagang personal at pinansyal na impormasyon na maaaring hindi nakaimbak sa mga kumbensyonal na field ng kredensyal.

Mga Teknik sa Pangunahing Pag-atake: Overlay at Input Interception

Kapag aktibo na, gumagamit ang Perseus ng mga kilalang pamamaraan ng malware sa Android banking. Naglulunsad ito ng mga overlay attack upang magpakita ng mga mapanlinlang na interface sa mga lehitimong aplikasyon sa pagbabangko at cryptocurrency, na kumukuha ng mga kredensyal ng user sa real time. Bukod pa rito, ginagamit ang keystroke logging upang maharang ang sensitibong input data habang ipinapasok ito.

Mga Operasyon ng Command-and-Control: Balangkas ng Remote Manipulation

Ang malware ay kinokontrol sa pamamagitan ng isang command-and-control (C2) infrastructure, na nagpapahintulot sa mga operator na mag-isyu ng mga utos, manipulahin ang pag-uugali ng device, at pahintulutan ang mga mapanlinlang na transaksyon. Kabilang sa mga pangunahing sinusuportahang utos ang:

  • Pagkuha at pagsubaybay sa datos (hal., pagkuha ng mga tala mula sa mga app tulad ng Google Keep, Evernote, at Microsoft OneNote)
  • Pamamahala ng malayuang sesyon sa pamamagitan ng VNC at HVNC para sa real-time o nakabalangkas na interaksyon sa UI
  • Pagkuha ng screenshot gamit ang mga serbisyo sa accessibility
  • Kontrol ng aplikasyon, kabilang ang paglulunsad ng mga app o pag-aalis ng mga paghihigpit
  • Mga taktika ng panlilinlang sa gumagamit tulad ng mga overlay ng black screen at pag-mute ng audio
  • Sapilitang pag-install mula sa hindi kilalang mga mapagkukunan at kunwaring mga pakikipag-ugnayan ng gumagamit

Ang komprehensibong hanay ng mga utos na ito ay nagbibigay-daan sa mga umaatake na mapanatili ang patuloy at palihim na kontrol sa mga nakompromisong device.

Mga Taktika sa Pag-iwas at Kamalayan sa Kapaligiran

Isinasama ng Perseus ang mga advanced na pamamaraan ng anti-analysis upang maiwasan ang pagtuklas. Nagsasagawa ito ng malawakang pagsusuri sa kapaligiran, kabilang ang pagtukoy sa mga tool sa pag-debug, pag-verify sa presensya ng SIM card, pagsusuri sa bilang ng mga naka-install na application, at pag-validate sa mga sukatan ng baterya upang kumpirmahin ang pagpapatupad sa isang totoong device.

Pinagsasama-sama ng malware ang datos na ito sa isang 'suspicion score,' na ipinapadala sa C2 server. Batay sa iskor na ito, tinutukoy ng mga operator kung magpapatuloy sa karagdagang pagsasamantala o mananatiling hindi aktibo upang maiwasan ang pagtuklas.

Mga Istratehikong Implikasyon: Kahusayan sa Pamamagitan ng Ebolusyon

Ipinakikita ni Perseus ang patuloy na ebolusyon ng Android malware, kung saan ang mga bagong banta ay lalong itinatayo sa mga umiiral na balangkas sa halip na binuo mula sa simula. Sa pamamagitan ng pagsasama-sama ng mga minanang kakayahan mula sa Cerberus at Phoenix na may mga naka-target na pagpapahusay, tulad ng pagsubaybay sa tala at pinahusay na remote control, nakakamit ni Perseus ang balanse sa pagitan ng kahusayan at inobasyon.

Ang pamamaraang ito ay sumasalamin sa mas malawak na kalakaran sa cybercrime: ang pagbibigay-priyoridad sa adaptability, scalability, at high-value data extraction, na ginagawang mas epektibo at mas mahirap matukoy ang mga modernong kampanya ng malware.

Trending

Pinaka Nanood

Naglo-load...