珀爾修斯銀行惡意軟體

網路安全分析師發現了一種名為 Perseus 的新型安卓惡意軟體家族，該家族已在實際環境中活躍部署，旨在實現設備接管 (DTO) 並實施金融詐騙。這項威脅代表了行動惡意軟體的重大演變，它融合了成熟的技術和更強的操作靈活性。

從已知的惡意軟體譜系演變而來

Perseus 惡意軟體基於 Cerberus 和 Phoenix 安卓惡意軟體構建，這兩款惡意軟體都是臭名昭著的安卓銀行木馬。 Cerberus 最早於 2019 年 8 月被發現，它濫用安卓系統的輔助功能服務來提升權限、竊取敏感數據，並部署覆蓋攻擊以竊取憑證。 2020 年其原始碼外洩後，出現了多個衍生版本，包括 Alien、ERMAC 和 Phoenix。

Perseus 擴展了 Phoenix 的程式碼庫，發展成為一個更具適應性和功能更強大的平台。諸如大量的應用內日誌記錄和異常程式碼痕跡等跡象表明，攻擊者可能在開發過程中利用了大型語言模型 (LLM) 輔助技術。

感染途徑：透過 IPTV 應用進行社會工程攻擊

該惡意軟體的傳播策略嚴重依賴社會工程。 Perseus 透過託管在釣魚網站上的投放器應用程式進行傳播，這些應用程式通常偽裝成 IPTV 服務。這種傳播方式與 Massiv 安卓惡意軟體的傳播活動類似，都瞄準那些試圖非法存取付費串流內容的用戶。

攻擊者透過在看似合法的IPTV應用程式中嵌入惡意程式碼，降低用戶的警覺性，並顯著提高感染成功率。這次攻擊活動主要針對多個地區的用戶，包括土耳其、義大利、波蘭、德國、法國、阿聯酋和葡萄牙。

惡意軟體部署鍊和已知痕跡

已確定以下幾個應用程式屬於 Perseus 分發生態系統：

• Roja App Directa (com.xcvuc.ocnsxn) – Dropper 應用程式
• TvTApp (com.tvtapps.live) – 主要 Perseus 有效載荷
• PolBox Tv (com.streamview.players) – 二級有效載荷變體

這些應用程式是惡意軟體安裝到受感染設備上的入口點。

高級設備接管能力

Perseus 利用 Android 的輔助功能服務建立遠端會話，從而實現對受感染設備的即時監控和精確互動。此功能允許攻擊者完全控制設備，使其能夠廣泛掌控使用者活動。

與傳統的銀行木馬不同，Perseus 不僅竊取憑證，還會主動監控筆記應用程式。這種行為表明其蓄意竊取可能並未儲存在傳統憑證欄位中的高價值個人和財務資訊。

核心攻擊技術：疊加與輸入攔截

Perseus一旦激活，便會採用成熟的安卓銀行惡意軟體技術。它會發動覆蓋攻擊，在合法的銀行和加密貨幣應用程式上顯示詐欺性介面，即時竊取使用者憑證。此外，它還會利用鍵盤記錄技術攔截使用者輸入的敏感資料。

指揮控制操作：遠端操控框架

該惡意軟體透過命令與控制 (C2) 基礎設施進行控制，使操作者能夠發出命令、操縱設備行為並授權詐欺交易。主要支援的命令包括：

• 資料擷取和監控（例如，從 Google Keep、Evernote 和 Microsoft OneNote 等應用程式擷取筆記）
• 透過 VNC 和 HVNC 進行遠端會話管理，實現即時或結構化的使用者介面互動。
• 使用輔助使用服務進行螢幕截圖
• 應用程式控制，包括啟動應用程式或移除限制
• 使用者欺騙手段，例如黑屏疊加和音頻靜音
• 強制安裝來自未知來源的程式和模擬使用者交互

這套全面的命令集使攻擊者能夠對受感染的設備保持持久和隱蔽的控制。

規避戰術和環境意識

Perseus 採用了先進的反分析技術來規避偵測。它會執行廣泛的環境檢查，包括識別調試工具、驗證 SIM 卡是否存在、分析已安裝應用程式的數量以及驗證電池指標，以確認其在真實設備上的運作情況。

該惡意軟體會將這些數據匯總成一個“可疑評分”，並將其傳輸到C2伺服器。攻擊者會根據這個分數來決定是繼續進行攻擊還是保持休眠狀態以避免被發現。

戰略意義：透過演進提高效率

Perseus 體現了 Android 惡意軟體的持續演變趨勢，即新型威脅越來越多地基於現有框架構建，而不是從零開始開發。 Perseus 結合了 Cerberus 和 Phoenix 的現有功能，並針對性地進行了增強，例如筆記監控和改進的遠端控制，從而在效率和創新之間取得了平衡。

這種方法反映了網路犯罪的一個更廣泛趨勢：優先考慮適應性、可擴展性和高價值數據提取，使得現代惡意軟體活動更有效且更難檢測。