Шкідливе програмне забезпечення для банків Perseus
Аналітики з кібербезпеки виявили нове сімейство шкідливих програм для Android, відоме як Perseus Android, яке активно розгортається для захоплення пристроїв (DTO) та здійснення фінансових шахрайств. Ця загроза являє собою значну еволюцію в галузі мобільних шкідливих програм, поєднуючи усталені методи з підвищеною операційною гнучкістю.
Зміст
Еволюція від перевірених походів шкідливого програмного забезпечення
Perseus побудовано на основі шкідливих програм Cerberus та Phoenix для Android, обох добре відомих банківських троянців для Android. Вперше задокументований у серпні 2019 року, Cerberus зловживав службами доступності Android для підвищення привілеїв, збору конфіденційних даних та розгортання атак накладання для крадіжки облікових даних. Після витоку його вихідного коду у 2020 році з'явилося кілька похідних програм, включаючи Alien, ERMAC та Phoenix.
Perseus розширює кодову базу Phoenix, розвиваючись у більш адаптивну та потужну платформу. Такі показники, як розширене логування в додатку та незвичайні артефакти коду, свідчать про те, що зловмисники могли використовувати допомогу моделей великих мов (LLM) під час розробки.
Вектор зараження: соціальна інженерія через IPTV-додатки
Стратегія розповсюдження значною мірою спирається на соціальну інженерію. Perseus постачається через програми-дроппери, розміщені на фішингових веб-сайтах, часто маскуючись під сервіси IPTV. Цей підхід відображає кампанії, пов’язані зі шкідливим програмним забезпеченням Massiv для Android, спрямовані на користувачів, які шукають несанкціонований доступ до преміум-потокового контенту.
Вбудовуючи шкідливе навантаження в, здавалося б, легітимні IPTV-додатки, зловмисники знижують підозри користувачів і значно підвищують рівень успішності зараження. Кампанія була спрямована переважно на користувачів у кількох регіонах, включаючи Туреччину, Італію, Польщу, Німеччину, Францію, Об'єднані Арабські Емірати та Португалію.
Ланцюг розгортання шкідливого програмного забезпечення та відомі артефакти
Як частину екосистеми розповсюдження Perseus було визначено кілька застосувань:
- Roja App Directa (com.xcvuc.ocnsxn) – програма Dropper
- TvTApp (com.tvtapps.live) – основне корисне навантаження Персея
- PolBox Tv (com.streamview.players) – варіант додаткового корисного навантаження
Ці програми слугують точками входу для встановлення шкідливого програмного забезпечення на уражені пристрої.
Розширені можливості перехоплення керування пристроями
Perseus використовує служби доступності Android для встановлення віддалених сеансів, що дозволяє здійснювати моніторинг у режимі реального часу та точно взаємодіяти із зараженими пристроями. Ця функціональність дозволяє повністю захопити пристрій, надаючи зловмисникам широкий контроль над активністю користувачів.
На відміну від традиційних банківських троянів, Perseus не обмежується лише збором облікових даних, активно моніторячи програми для ведення нотаток. Така поведінка свідчить про навмисну зосередженість на вилученні цінної особистої та фінансової інформації, яка може не зберігатися у звичайних полях облікових даних.
Основні методи атаки: накладання та перехоплення вхідних даних
Після активації Perseus використовує добре відомі методи шкідливого програмного забезпечення для банків Android. Він запускає атаки з накладанням, щоб відображати шахрайські інтерфейси поверх легітимних банківських та криптовалютних додатків, захоплюючи облікові дані користувачів у режимі реального часу. Крім того, використовується реєстрація натискань клавіш для перехоплення конфіденційних даних під час їх введення.
Командно-контрольні операції: структура дистанційного маніпулювання
Шкідливе програмне забезпечення контролюється через інфраструктуру командування та управління (C2), що дозволяє операторам видавати команди, маніпулювати поведінкою пристроїв та авторизувати шахрайські транзакції. Основні підтримувані команди включають:
- Вилучення даних та спостереження (наприклад, запис нотаток із таких програм, як Google Keep, Evernote та Microsoft OneNote)
- Віддалене керування сеансами через VNC та HVNC для взаємодії в режимі реального часу або структурованої взаємодії через інтерфейс користувача
- Знімок екрана за допомогою служб доступності
- Контроль програм, включаючи запуск програм або скасування обмежень
- Тактики обману користувачів, такі як накладання чорного екрана та вимкнення звуку
- Примусова інсталяція з невідомих джерел та імітація взаємодії з користувачем
Цей комплексний набір команд дозволяє зловмисникам підтримувати постійний та прихований контроль над скомпрометованими пристроями.
Тактика ухилення та усвідомлення навколишнього середовища
Perseus використовує передові методи антианалізу, щоб уникнути виявлення. Він виконує ретельні перевірки середовища, включаючи визначення інструментів налагодження, перевірку наявності SIM-картки, аналіз кількості встановлених програм та перевірку показників заряду батареї для підтвердження виконання на реальному пристрої.
Шкідливе програмне забезпечення об’єднує ці дані в «оцінку підозрілості», яка передається на сервер C2. На основі цієї оцінки оператори визначають, чи продовжувати подальшу експлуатацію, чи залишатися в сплячому режимі, щоб уникнути виявлення.
Стратегічні наслідки: Ефективність через еволюцію
Perseus є прикладом постійної еволюції шкідливого програмного забезпечення для Android, де нові загрози все частіше будуються на існуючих платформах, а не розробляються з нуля. Поєднуючи успадковані можливості Cerberus та Phoenix з цільовими покращеннями, такими як моніторинг нотаток та покращене дистанційне керування, Perseus досягає балансу між ефективністю та інноваціями.
Такий підхід відображає ширшу тенденцію в кіберзлочинності: пріоритет адаптивності, масштабованості та вилучення цінних даних, що робить сучасні кампанії зі шкідливим програмним забезпеченням ефективнішими та складнішими для виявлення.
