Новое вредоносное ПО Perseus для Android, маскирующееся под IPTV-приложения, крадет пароли и финансовые данные, сканируя личные заметки пользователей. Оно обеспечивает полный захват устройства. — bleepingcomputer.com
Новое вредоносное ПО для Android под названием Perseus проверяет заметки, созданные пользователями, с целью кражи конфиденциальной информации, такой как пароли, фразы восстановления или финансовые данные.
Распространяемое через неофициальные магазины под видом IPTV, Perseus позволяет полностью захватить устройство, делать снимки экрана и осуществлять атаки с использованием наложений.
Маскируясь под приложения IPTV, которые часто используются для потоковой передачи пиратского контента, злоумышленник полагается на то, что пользователи привыкли устанавливать APK-файлы из источников за пределами Google Play и игнорировать предупреждения безопасности.
Эта тенденция наблюдается в течение последних восьми месяцев, поскольку пользователи ищут бесплатные или недорогие способы доступа к прямым спортивным трансляциям. В недавней кампании злоумышленники использовали приманку в виде IPTV-приложений для распространения банковского вредоносного ПО Massiv для Android.
По данным исследователей из компании по мобильной безопасности ThreatFabric, Perseus в первую очередь нацелен на финансовые учреждения в Турции и Италии, а также на криптосервисы.
Одним из приложений, загружающих вредоносное ПО, является Roja Directa TV — популярный сервис потоковой передачи спортивного контента, который становился объектом судебных исков о нарушении авторских прав и мер по закрытию.
Дроппер для Perseus способен обходить ограничения на боковую загрузку в Android 13+ и является тем же самым, что использовался для доставки вредоносного ПО Klopatra и Medusa.
По мнению исследователей ThreatFabric, «Perseus, по-видимому, создан на основе кодовой базы Phoenix», которая, в свою очередь, была разработана на основе кода Cerberus, утечка которого произошла почти шесть лет назад.
В сегодняшнем отчете исследователи сообщают, что вредоносное ПО имеет две версии: одну на турецком языке и более усовершенствованную на английском, которая также отличается улучшенной отладкой и дополнительными функциями для удобства использования.
Английский вариант включает обширное логирование и эмодзи в коде, что является веским признаком использования инструментов ИИ в процессе разработки.
Ориентация на Турцию также очевидна из списка целевых финансовых учреждений в стране (17), за которой следуют Италия (15), Польша (5), Германия (3) и Франция (2). Вредоносное ПО также нацелено на 9 криптовалютных приложений.
Злоупотребляя Службами специальных возможностей Android (Accessibility Services), Perseus предоставляет операторам полный удаленный контроль над зараженными устройствами, позволяя им:
- Непрерывно делать снимки экрана и транслировать их оператору (start_vnc)
- Отправлять структурированную иерархию пользовательского интерфейса для программного удаленного взаимодействия (start_hvnc)
- Имитировать нажатия, свайпы, ввод текста, длительные нажатия и другие действия навигации по интерфейсу
- Включать экран, запускать приложения и блокировать приложения
- Активировать наложение черного экрана, чтобы скрыть активность от жертвы
- Запускать атаки с наложением и выполнять кейлоггинг
Необычная функция Perseus нацелена на приложения для заметок Android, включая Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote и Simple Notes.
Исследователи ThreatFabric отмечают, что это первый случай, когда они столкнулись с вредоносным ПО для Android, которое проверяет личные заметки на устройстве на наличие конфиденциальных сведений.
«В то время как многие семейства вредоносного ПО для Android в первую очередь сосредоточены на сборе учетных данных или перехвате коммуникаций, эта функция отражает более широкий интерес к контекстным и лично созданным данным», — говорится в отчете ThreatFabric.
«Заметки часто содержат конфиденциальную информацию, такую как пароли, фразы восстановления, финансовые данные или личные мысли, что делает их ценной мишенью для злоумышленников».
Английская версия вредоносного ПО использует Службы специальных возможностей для систематического открытия приложений для заметок по одному и сканирования отдельных заметок, хранящихся в них.
Perseus выполняет обширные проверки на противодействие анализу и уклонение перед выполнением на устройстве, включая данные о руте, отпечатки эмулятора, сведения о SIM-карте, аппаратный профиль, данные о батарее, наличие Bluetooth, количество приложений и доступность Google Play Services, а также формирует «оценку подозрительности», которую отправляет на панель командно-контрольного центра (C2).
На основании этой оценки оператор решает, продолжать ли кражу данных.
Чтобы минимизировать риск, пользователям Android рекомендуется избегать боковой загрузки APK-файлов из сомнительных источников и загружать только легальные стриминговые приложения из официального магазина Android — Google Play. Также следует убедиться, что Play Защита активна, и использовать ее для регулярного сканирования устройства на наличие известных угроз.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas