Phần mềm độc hại ngân hàng Perseus
Các nhà phân tích an ninh mạng đã xác định một họ phần mềm độc hại Android mới có tên là Perseus Android, đang được triển khai rộng rãi để chiếm quyền điều khiển thiết bị (DTO) và thực hiện các hành vi gian lận tài chính. Mối đe dọa này thể hiện một bước tiến đáng kể trong phần mềm độc hại di động, kết hợp các kỹ thuật đã được thiết lập với tính linh hoạt hoạt động được nâng cao.
Mục lục
Sự tiến hóa từ các dòng phần mềm độc hại đã được chứng minh
Perseus được xây dựng dựa trên nền tảng của phần mềm độc hại Cerberus và Phoenix Android, cả hai đều là những trojan ngân hàng Android nổi tiếng. Được ghi nhận lần đầu vào tháng 8 năm 2019, Cerberus đã lợi dụng các dịch vụ hỗ trợ truy cập của Android để leo thang đặc quyền, thu thập dữ liệu nhạy cảm và triển khai các cuộc tấn công lớp phủ để đánh cắp thông tin đăng nhập. Sau khi mã nguồn của nó bị rò rỉ vào năm 2020, nhiều biến thể đã xuất hiện, bao gồm Alien, ERMAC và Phoenix.
Perseus mở rộng mã nguồn của Phoenix, phát triển thành một nền tảng linh hoạt và mạnh mẽ hơn. Các dấu hiệu như nhật ký hoạt động chi tiết trong ứng dụng và các dấu vết mã nguồn bất thường cho thấy các tác nhân đe dọa có thể đã tận dụng sự hỗ trợ của mô hình ngôn ngữ lớn (LLM) trong quá trình phát triển.
Phương thức lây nhiễm: Tấn công phi kỹ thuật thông qua ứng dụng IPTV
Chiến lược phát tán phần lớn dựa vào kỹ thuật thao túng tâm lý. Perseus được phân phối thông qua các ứng dụng dropper được lưu trữ trên các trang web lừa đảo, thường được ngụy trang dưới dạng dịch vụ IPTV. Cách tiếp cận này tương tự như các chiến dịch liên quan đến phần mềm độc hại Massiv dành cho Android, nhắm mục tiêu vào người dùng tìm cách truy cập trái phép vào nội dung phát trực tuyến cao cấp.
Bằng cách nhúng các phần mềm độc hại vào các ứng dụng IPTV tưởng chừng như hợp pháp, kẻ tấn công làm giảm sự nghi ngờ của người dùng và tăng đáng kể tỷ lệ lây nhiễm thành công. Chiến dịch này chủ yếu nhắm mục tiêu vào người dùng ở nhiều khu vực, bao gồm Thổ Nhĩ Kỳ, Ý, Ba Lan, Đức, Pháp, Các Tiểu vương quốc Ả Rập Thống nhất và Bồ Đào Nha.
Chuỗi triển khai phần mềm độc hại và các dấu vết đã biết
Một số ứng dụng đã được xác định là một phần của hệ sinh thái phân phối Perseus:
- Roja App Directa (com.xcvuc.ocnsxn) – Ứng dụng nhỏ giọt
- TvTApp (com.tvtapps.live) – Tải trọng Perseus chính
- PolBox Tv (com.streamview.players) – Biến thể tải trọng phụ
Các ứng dụng này đóng vai trò là điểm xâm nhập để cài đặt phần mềm độc hại vào các thiết bị bị xâm nhập.
Khả năng chiếm quyền điều khiển thiết bị nâng cao
Perseus tận dụng các dịch vụ hỗ trợ truy cập của Android để thiết lập các phiên kết nối từ xa, cho phép giám sát thời gian thực và tương tác chính xác với các thiết bị bị nhiễm. Chức năng này cho phép chiếm quyền kiểm soát hoàn toàn thiết bị, mang lại cho kẻ tấn công quyền kiểm soát rộng rãi đối với hoạt động của người dùng.
Khác với các phần mềm độc hại ngân hàng truyền thống, Perseus không chỉ thu thập thông tin đăng nhập mà còn chủ động theo dõi các ứng dụng ghi chú. Hành vi này cho thấy sự tập trung có chủ đích vào việc trích xuất thông tin cá nhân và tài chính có giá trị cao mà có thể không được lưu trữ trong các trường thông tin đăng nhập thông thường.
Các kỹ thuật tấn công cốt lõi: Lớp phủ và chặn đầu vào
Sau khi được kích hoạt, Perseus sử dụng các kỹ thuật phần mềm độc hại ngân hàng Android đã được biết đến rộng rãi. Nó thực hiện các cuộc tấn công lớp phủ để hiển thị giao diện giả mạo trên các ứng dụng ngân hàng và tiền điện tử hợp pháp, thu thập thông tin đăng nhập của người dùng trong thời gian thực. Ngoài ra, nó còn sử dụng phương pháp ghi lại thao tác bàn phím để chặn dữ liệu đầu vào nhạy cảm khi người dùng nhập vào.
Các hoạt động chỉ huy và kiểm soát: Khung thao tác từ xa
Phần mềm độc hại này được điều khiển thông qua cơ sở hạ tầng máy chủ điều khiển (C2), cho phép người điều hành ra lệnh, thao túng hành vi thiết bị và ủy quyền các giao dịch gian lận. Các lệnh chính được hỗ trợ bao gồm:
- Trích xuất và giám sát dữ liệu (ví dụ: thu thập ghi chú từ các ứng dụng như Google Keep, Evernote và Microsoft OneNote)
- Quản lý phiên làm việc từ xa thông qua VNC và HVNC để tương tác giao diện người dùng theo thời gian thực hoặc có cấu trúc.
- Chụp ảnh màn hình bằng dịch vụ hỗ trợ tiếp cận
- Kiểm soát ứng dụng, bao gồm khởi chạy ứng dụng hoặc gỡ bỏ các hạn chế.
- Các thủ đoạn đánh lừa người dùng như phủ màn hình đen và tắt tiếng.
- Cài đặt bắt buộc từ nguồn không xác định và tương tác người dùng mô phỏng
Bộ lệnh toàn diện này cho phép kẻ tấn công duy trì quyền kiểm soát bí mật và liên tục đối với các thiết bị bị xâm nhập.
Chiến thuật né tránh và nhận thức về môi trường
Perseus tích hợp các kỹ thuật chống phân tích tiên tiến để tránh bị phát hiện. Nó thực hiện kiểm tra môi trường toàn diện, bao gồm xác định các công cụ gỡ lỗi, xác minh sự hiện diện của thẻ SIM, phân tích số lượng ứng dụng đã cài đặt và xác thực các chỉ số pin để xác nhận việc thực thi trên thiết bị thực.
Phần mềm độc hại tổng hợp dữ liệu này thành một "điểm nghi ngờ", được truyền đến máy chủ C2. Dựa trên điểm số này, những kẻ điều hành sẽ quyết định có tiếp tục khai thác hay duy trì trạng thái ngủ đông để tránh bị phát hiện.
Ý nghĩa chiến lược: Hiệu quả thông qua sự tiến hóa
Perseus là minh chứng cho sự tiến hóa không ngừng của phần mềm độc hại Android, nơi các mối đe dọa mới ngày càng được xây dựng dựa trên các khung phần mềm hiện có thay vì được phát triển từ đầu. Bằng cách kết hợp các khả năng kế thừa từ Cerberus và Phoenix với các cải tiến có mục tiêu, chẳng hạn như giám sát ghi chú và điều khiển từ xa được cải thiện, Perseus đạt được sự cân bằng giữa hiệu quả và sự đổi mới.
Cách tiếp cận này phản ánh một xu hướng rộng hơn trong tội phạm mạng: ưu tiên khả năng thích ứng, khả năng mở rộng và trích xuất dữ liệu có giá trị cao, khiến các chiến dịch phần mềm độc hại hiện đại hiệu quả hơn và khó phát hiện hơn.
