Ένας νέος τραπεζικός trojan Android με το όνομα Perseus εμφανίστηκε στη φύση, αντιπροσωπεύοντας το επόμενο βήμα στη συνεχιζόμενη εξέλιξη του κακόβουλου λογισμικού για κινητά.
Βασισμένο στον πηγαίο κώδικα του Cerberus που διέρρευσε και αντλώντας απευθείας από τη βάση κωδικών Phoenix, το Perseus βελτιώνει και επεκτείνει τις δυνατότητες των προκατόχων του.
Συνδυάζει κλοπή διαπιστευτηρίων, παρακολούθηση συσκευής σε πραγματικό χρόνο και μια σπάνια ικανότητα ανάγνωσης σιωπηρών προσωπικών σημειώσεων από μολυσμένη συσκευή, καθιστώντας την μια από τις πιο ικανές απειλές Android που είναι ενεργές αυτή τη στιγμή.
Το κακόβουλο λογισμικό εξαπλώνεται μέσω καμπανιών που στοχεύουν χρήστες κυρίως στην Τουρκία και την Ιταλία, αν και η εμβέλειά του εκτείνεται στην Πολωνία, τη Γερμανία, τη Γαλλία, τα Ηνωμένα Αραβικά Εμιράτα, την Πορτογαλία και τις πλατφόρμες κρυπτονομισμάτων.
Οι ηθοποιοί απειλών το διανέμουν μέσω ψεύτικων εφαρμογών IPTV, μια τακτική που παρακάμπτει το Google Play Store εκμεταλλευόμενο την εξοικείωση των χρηστών με την παράπλευρη φόρτωση αρχείων APK.
Μεταμφιεσμένος ως νόμιμη υπηρεσία ροής, ο Perseus μειώνει τις υποψίες των χρηστών και βελτιώνει τα ποσοστά μόλυνσης. Μια εφαρμογή dropper χρησιμοποιείται επίσης για να παρακάμψει τους περιορισμούς εγκατάστασης Android 13+, καθιστώντας τη διαδικασία μόλυνσης σημαντικά πιο δύσκολη στον εντοπισμό.
Οι αναλυτές του ThreatFabric εντόπισαν το κακόβουλο λογισμικό ως μέρος μιας ενεργού εκστρατείας και σημείωσε τις συνδέσεις του με υποδομές που μοιράζονται με άλλες γνωστές οικογένειες, συμπεριλαμβανομένων της Μέδουσας και της Κλοπάτρας.
.webp.png)
Το όνομα του κακόβουλου λογισμικού ελήφθη απευθείας από τον πίνακα σύνδεσης C2 που παρατηρήθηκε κατά τη διάρκεια πολλών αναλύσεων καμπάνιας, επιβεβαιώνοντάς το ως εσκεμμένη και στοχευμένη απειλή.
Οι αναλυτές εντόπισαν επίσης δύο βασικούς κλάδους: έναν γραμμένο στα αγγλικά με εκτεταμένες δυνατότητες εντοπισμού σφαλμάτων και μια πιο διακριτική έκδοση στην τουρκική γλώσσα, που στοχεύουν ενεργά χρηματοπιστωτικά ιδρύματα και δεδομένα χρηστών σε πολλές περιοχές.
Μόλις εγκατασταθεί, ο Perseus ζητά δικαιώματα Προσβασιμότητας Υπηρεσίας, τα οποία γίνονται η ραχοκοκαλιά της λειτουργίας του. Αυτά τα δικαιώματα του επιτρέπουν να παρακολουθεί την οθόνη, να παρεμποδίζει τις εισόδους του χρήστη και να προσομοιώνει τις αλληλεπιδράσεις αφής χωρίς να εμφανίζει ορατά σημάδια δραστηριότητας.
.webp.jpeg)
Το κακόβουλο λογισμικό εξαπολύει επιθέσεις επικάλυψης εμφανίζοντας ψεύτικες σελίδες σύνδεσης μέσω νόμιμων τραπεζικών εφαρμογών, ενώ η δυνατότητα καταγραφής κλειδιών καταγράφει όλα όσα πληκτρολογεί ένας χρήστης.
Όταν συνδυάζεται με τις δυνατότητες του τηλεχειριστηρίου, αυτό δίνει στον εισβολέα πλήρη διαδραστικό έλεγχο της παραβιασμένης συσκευής, επιτρέποντάς του να διενεργεί απάτες και να εξουσιοδοτεί συναλλαγές εν αγνοία του θύματος.
Η ευρύτερη επίδραση του Περσέα είναι δύσκολο να υποτιμηθεί. Στοχεύοντας περισσότερα από 50 ιδρύματα σε οκτώ χώρες και εννέα πλατφόρμες κρυπτονομισμάτων, αποτελεί σοβαρή οικονομική απειλή.
Η ικανότητά του να εκτελεί πλήρη εξαγορά συσκευής ενώ παραμένει κρυφό δείχνει πόσο έχει προχωρήσει το σύγχρονο τραπεζικό κακόβουλο λογισμικό Android.
Σημειώσεις: Μια ικανότητα που λείπει από άλλους
Αυτό που διαχωρίζει το Perseus από τα περισσότερα trojan banking Android είναι η ικανότητά του να στοχεύει εφαρμογές λήψης σημειώσεων στη συσκευή του θύματος.
Πολλοί άνθρωποι αποθηκεύουν κωδικούς πρόσβασης, φράσεις ανάκτησης κρυπτονομισμάτων και στοιχεία οικονομικών λογαριασμών σε εφαρμογές σημειώσεων, συχνά χωρίς να συνειδητοποιούν τον κίνδυνο.
Ο Περσέας το εκμεταλλεύεται αυτό μέσω μιας εντολής που ονομάζεται scan_notesτο οποίο προσδιορίζει τις εγκατεστημένες εφαρμογές σημειώσεων και ανοίγει σιωπηλά κάθε μία για να διαβάσει το αποθηκευμένο περιεχόμενό της, όλα αυτά χωρίς καμία αλληλεπίδραση με τον χρήστη.
Ο Περσέας εκτελεί αυτή τη διαδικασία χρησιμοποιώντας Υπηρεσίες προσβασιμότητας Android για αυτόνομη πλοήγηση στη διεπαφή κάθε εφαρμογής.
Μετακινείται μέσα σε μεμονωμένες σημειώσεις, ενεργοποιεί τις ενέργειες πατήματος για να ανοίξει καταχωρήσεις, καταγράφει το κείμενο και, στη συνέχεια, εκτελεί μια ενέργεια οπισθοπλοήγησης πριν προχωρήσει στην επόμενη.
Ολόκληρη η ρουτίνα τρέχει σιωπηλά στο παρασκήνιο χωρίς ορατή ένδειξη για το θύμα. Όλα τα δεδομένα σημειώσεων που καταγράφονται καταγράφονται και προωθούνται στον διακομιστή εντολών και ελέγχου του εισβολέα μαζί με άλλα κλεμμένα διαπιστευτήρια και πληροφορίες συσκευής.
.webp.jpeg)
Οι εφαρμογές που παρακολουθούνται από την Perseus περιλαμβάνουν τα Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote, Simple Notes Pro και Simple Notes.
Αυτή η ευρεία στόχευση αντικατοπτρίζει μια υπολογισμένη προσπάθεια εξαγωγής προσωπικών και οικονομικών δεδομένων υψηλής αξίας που τα θύματα συνήθως υποθέτουν ότι είναι ασφαλή στις δικές τους συσκευές.
Οι χρήστες θα πρέπει να αποφεύγουν την εγκατάσταση εφαρμογών εκτός των επίσημων καταστημάτων εφαρμογών και να διασφαλίζουν ότι το Google Play Protect παραμένει ενεργοποιημένο. Το να διατηρείτε τις συσκευές Android ενημερωμένες με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας είναι ένα κρίσιμο βήμα για τη μείωση της έκθεσης σε απειλές όπως ο Perseus.
Το πιο σημαντικό, οι χρήστες δεν πρέπει ποτέ να αποθηκεύουν κωδικούς πρόσβασης, φράσεις ανάκτησης πορτοφολιού ή ευαίσθητα διαπιστευτήρια μέσα σε εφαρμογές λήψης σημειώσεων, καθώς κακόβουλο λογισμικό που κάνει κατάχρηση των Υπηρεσιών Προσβασιμότητας μπορεί να έχει πρόσβαση σε αυτά τα δεδομένα χωρίς ποτέ να ειδοποιήσει τον κάτοχο της συσκευής.
