Perseus Bankacılık Kötü Amaçlı Yazılımı
Siber güvenlik analistleri, cihaz ele geçirme (DTO) ve finansal dolandırıcılık gerçekleştirmek amacıyla aktif olarak kullanılan Perseus Android kötü amaçlı yazılımı olarak bilinen yeni bir Android kötü amaçlı yazılım ailesi tespit etti. Bu tehdit, yerleşik teknikleri gelişmiş operasyonel esneklikle birleştirerek mobil kötü amaçlı yazılımlarda önemli bir evrimi temsil ediyor.
İçindekiler
Kanıtlanmış Kötü Amaçlı Yazılım Soylarından Evrim
Perseus, her ikisi de tanınmış Android bankacılık truva atı olan Cerberus ve Phoenix Android kötü amaçlı yazılımlarının temelleri üzerine inşa edilmiştir. İlk olarak Ağustos 2019'da belgelenen Cerberus, ayrıcalıkları yükseltmek, hassas verileri toplamak ve kimlik bilgilerini çalmak için üst üste bindirme saldırıları düzenlemek amacıyla Android'in erişilebilirlik hizmetlerini kötüye kullanmıştır. 2020'de kaynak kodunun sızdırılmasının ardından Alien, ERMAC ve Phoenix dahil olmak üzere birçok türevi ortaya çıkmıştır.
Perseus, Phoenix kod tabanını genişleterek daha uyarlanabilir ve yetenekli bir platforma dönüşüyor. Kapsamlı uygulama içi günlük kaydı ve olağandışı kod kalıntıları gibi göstergeler, tehdit aktörlerinin geliştirme sırasında büyük dil modeli (LLM) desteğinden yararlanmış olabileceğini düşündürüyor.
Bulaşma Vektörü: IPTV Uygulamaları Aracılığıyla Sosyal Mühendislik
Dağıtım stratejisi büyük ölçüde sosyal mühendisliğe dayanmaktadır. Perseus, genellikle IPTV hizmetleri olarak gizlenmiş kimlik avı web sitelerinde barındırılan dropper uygulamaları aracılığıyla dağıtılır. Bu yaklaşım, premium yayın içeriğine yetkisiz erişim arayan kullanıcıları hedef alan Massiv Android kötü amaçlı yazılımıyla ilişkili kampanyaları yansıtmaktadır.
Saldırganlar, görünüşte meşru IPTV uygulamalarına zararlı yazılımlar yerleştirerek kullanıcı şüphesini azaltıyor ve enfeksiyon başarı oranlarını önemli ölçüde artırıyor. Kampanya öncelikle Türkiye, İtalya, Polonya, Almanya, Fransa, Birleşik Arap Emirlikleri ve Portekiz dahil olmak üzere birçok bölgedeki kullanıcıları hedef aldı.
Kötü Amaçlı Yazılım Dağıtım Zinciri ve Bilinen Bulgular
Perseus dağıtım ekosisteminin bir parçası olarak çeşitli uygulamalar belirlenmiştir:
- Roja App Directa (com.xcvuc.ocnsxn) – Damlalık uygulaması
- TvTApp (com.tvtapps.live) – Birincil Perseus yükü
- PolBox Tv (com.streamview.players) – İkincil yük varyantı
Bu uygulamalar, ele geçirilen cihazlara kötü amaçlı yazılım yüklemek için giriş noktaları görevi görür.
Gelişmiş Cihaz Ele Geçirme Yetenekleri
Perseus, uzaktan oturumlar kurmak için Android erişilebilirlik hizmetlerinden yararlanarak, enfekte cihazlarla gerçek zamanlı izleme ve hassas etkileşim olanağı sağlar. Bu işlevsellik, cihazın tamamen ele geçirilmesine olanak tanıyarak saldırganlara kullanıcı etkinliği üzerinde kapsamlı kontrol imkanı verir.
Geleneksel bankacılık truva atlarından farklı olarak, Perseus, not alma uygulamalarını aktif olarak izleyerek kimlik bilgilerini ele geçirmenin ötesine geçiyor. Bu davranış, geleneksel kimlik bilgisi alanlarında saklanmayabilecek yüksek değerli kişisel ve finansal bilgileri elde etmeye yönelik kasıtlı bir odaklanmayı gösteriyor.
Temel Saldırı Teknikleri: Üst Üste Bindirme ve Giriş Engelleme
Aktif hale geldiğinde, Perseus iyi bilinen Android bankacılık kötü amaçlı yazılım tekniklerini kullanır. Meşru bankacılık ve kripto para uygulamalarının üzerine sahte arayüzler görüntülemek için yer paylaşımı saldırıları başlatır ve kullanıcı kimlik bilgilerini gerçek zamanlı olarak ele geçirir. Ek olarak, hassas giriş verilerini girildiği anda yakalamak için tuş vuruşu kaydı kullanılır.
Komuta ve Kontrol Operasyonları: Uzaktan Manipülasyon Çerçevesi
Kötü amaçlı yazılım, komuta ve kontrol (C2) altyapısı aracılığıyla kontrol edilir ve operatörlerin komutlar vermesine, cihaz davranışını manipüle etmesine ve sahte işlemleri yetkilendirmesine olanak tanır. Desteklenen temel komutlar şunlardır:
- Veri çıkarma ve gözetim (örneğin, Google Keep, Evernote ve Microsoft OneNote gibi uygulamalardan not alma)
- Gerçek zamanlı veya yapılandırılmış kullanıcı arayüzü etkileşimi için VNC ve HVNC aracılığıyla uzaktan oturum yönetimi.
- Erişilebilirlik hizmetleri kullanılarak ekran görüntüsü yakalama
- Uygulama kontrolü, uygulamaları başlatmayı veya kısıtlamaları kaldırmayı içerir.
- Siyah ekran kaplamaları ve ses kapatma gibi kullanıcı aldatma taktikleri.
- Bilinmeyen kaynaklardan zorla yükleme ve simüle edilmiş kullanıcı etkileşimleri
Bu kapsamlı komut seti, saldırganların ele geçirdikleri cihazlar üzerinde sürekli ve gizli kontrol sağlamalarına olanak tanır.
Kaçınma Taktikleri ve Çevre Bilinci
Perseus, tespit edilmekten kaçınmak için gelişmiş analiz karşıtı teknikler kullanır. Hata ayıklama araçlarını belirleme, SIM kartın varlığını doğrulama, yüklü uygulama sayısını analiz etme ve gerçek bir cihazda çalıştığını doğrulamak için pil ölçümlerini doğrulama dahil olmak üzere kapsamlı ortam kontrolleri gerçekleştirir.
Kötü amaçlı yazılım bu verileri bir 'şüphe puanı' haline getirir ve bu puan C2 sunucusuna iletilir. Operatörler bu puana dayanarak daha fazla istismara devam edip etmeyeceklerine veya tespit edilmekten kaçınmak için pasif kalıp kalmayacaklarına karar verirler.
Stratejik Çıkarımlar: Evrim Yoluyla Verimlilik
Perseus, Android kötü amaçlı yazılımlarının sürekli evrimine örnek teşkil ediyor; burada yeni tehditler giderek sıfırdan geliştirilmek yerine mevcut çerçeveler üzerine inşa ediliyor. Cerberus ve Phoenix'ten miras alınan yetenekleri, not izleme ve geliştirilmiş uzaktan kontrol gibi hedefli iyileştirmelerle birleştirerek, Perseus verimlilik ve yenilikçilik arasında bir denge kuruyor.
Bu yaklaşım, siber suçlardaki daha geniş bir eğilimi yansıtıyor: uyarlanabilirlik, ölçeklenebilirlik ve yüksek değerli veri çıkarımına öncelik verilmesi, modern kötü amaçlı yazılım kampanyalarını daha etkili ve tespit edilmesi daha zor hale getiriyor.
