珀尔修斯银行恶意软件

网络安全分析师发现了一种名为 Perseus 的新型安卓恶意软件家族，该家族已在实际环境中活跃部署，旨在实现设备接管 (DTO) 并实施金融诈骗。这一威胁代表了移动恶意软件的重大演变，它融合了成熟的技术和更强的操作灵活性。

从已知的恶意软件谱系中演变而来

Perseus 恶意软件基于 Cerberus 和 Phoenix 安卓恶意软件构建，这两款恶意软件都是臭名昭著的安卓银行木马。Cerberus 最早于 2019 年 8 月被发现，它滥用安卓系统的辅助功能服务来提升权限、窃取敏感数据，并部署覆盖攻击以窃取凭证。2020 年其源代码泄露后，出现了多个衍生版本，包括 Alien、ERMAC 和 Phoenix。

Perseus 扩展了 Phoenix 的代码库，发展成为一个更具适应性和功能更强大的平台。诸如大量的应用内日志记录和异常代码痕迹等迹象表明，攻击者可能在开发过程中利用了大型语言模型 (LLM) 辅助技术。

感染途径：通过 IPTV 应用进行社会工程攻击

该恶意软件的传播策略严重依赖社会工程学。Perseus 通过托管在钓鱼网站上的投放器应用程序进行传播，这些应用程序通常伪装成 IPTV 服务。这种传播方式与 Massiv 安卓恶意软件的传播活动类似，都瞄准那些试图非法访问付费流媒体内容的用户。

攻击者通过在看似合法的IPTV应用程序中嵌入恶意代码，降低用户的警惕性，并显著提高感染成功率。此次攻击活动主要针对多个地区的用户，包括土耳其、意大利、波兰、德国、法国、阿联酋和葡萄牙。

恶意软件部署链和已知痕迹

已确定以下几个应用程序属于 Perseus 分发生态系统：

• Roja App Directa (com.xcvuc.ocnsxn) – Dropper 应用程序
• TvTApp (com.tvtapps.live) – 主要 Perseus 有效载荷
• PolBox Tv (com.streamview.players) – 二级有效载荷变体

这些应用程序是恶意软件安装到受感染设备上的入口点。

高级设备接管能力

Perseus 利用 Android 的辅助功能服务建立远程会话，从而实现对受感染设备的实时监控和精确交互。此功能允许攻击者完全控制设备，使其能够广泛掌控用户活动。

与传统的银行木马不同，Perseus 不仅窃取凭证，还会主动监控笔记应用程序。这种行为表明其蓄意窃取可能并未存储在传统凭证字段中的高价值个人和财务信息。

核心攻击技术：叠加和输入拦截

Perseus一旦激活，便会采用成熟的安卓银行恶意软件技术。它会发起覆盖攻击，在合法的银行和加密货币应用程序上显示欺诈性界面，实时窃取用户凭证。此外，它还会利用键盘记录技术拦截用户输入的敏感数据。

指挥控制操作：远程操控框架

该恶意软件通过命令与控制 (C2) 基础设施进行控制，使操作者能够发出命令、操纵设备行为并授权欺诈交易。主要支持的命令包括：

• 数据提取和监控（例如，从 Google Keep、Evernote 和 Microsoft OneNote 等应用程序中捕获笔记）
• 通过 VNC 和 HVNC 进行远程会话管理，实现实时或结构化的用户界面交互。
• 使用辅助功能服务进行屏幕截图
• 应用程序控制，包括启动应用程序或移除限制
• 用户欺骗手段，例如黑屏叠加和音频静音
• 强制安装来自未知来源的程序和模拟用户交互

这套全面的命令集使攻击者能够对受感染的设备保持持久和隐蔽的控制。

规避战术和环境意识

Perseus 采用了先进的反分析技术来规避检测。它会执行广泛的环境检查，包括识别调试工具、验证 SIM 卡是否存在、分析已安装应用程序的数量以及验证电池指标，以确认其在真实设备上的运行情况。

该恶意软件会将这些数据汇总成一个“可疑评分”，并将其传输到C2服务器。攻击者会根据这个评分来决定是继续进行攻击还是保持休眠状态以避免被发现。

战略意义：通过演进提高效率

Perseus 体现了 Android 恶意软件的持续演变趋势，即新型威胁越来越多地基于现有框架构建，而非从零开始开发。Perseus 结合了 Cerberus 和 Phoenix 的现有功能，并针对性地进行了增强，例如笔记监控和改进的远程控制，从而在效率和创新之间取得了平衡。

这种方法反映了网络犯罪的一个更广泛趋势：优先考虑适应性、可扩展性和高价值数据提取，使得现代恶意软件活动更有效且更难检测。