Исследователи кибербезопасности выявили новое сложное семейство вредоносного ПО для Android под названием Perseus, которое активно распространяется для захвата контроля над устройствами (DTO) и совершения финансового мошенничества. Этот троянец представляет собой значительную эволюцию, построенную на базе кода печально известных банковских троянцев Cerberus и Phoenix. Он превратился в «более гибкую и мощную платформу» для компрометации устройств, распространяемую в основном через дроппер-приложения, размещенные на фишинговых сайтах. Операторы троянца используют удаленные сессии через службы специальных возможностей Android для мониторинга и взаимодействия с зараженными устройствами в реальном времени, что обеспечивает полный контроль. Его кампании демонстрируют особую географическую направленность, активно нацеливаясь на пользователей в Турции и Италии, с дополнительными жертвами в Польше, Германии, Франции, Объединенных Арабских Эмиратах и Португалии.
Perseus отличается тем, что расширяет свои возможности по краже данных за рамки традиционных банковских учетных данных. Хотя он сохраняет основную функциональность по хищению данных для входа через оверлейные атаки, новая и вызывающая беспокойство функция — это активный мониторинг приложений для заметок пользователя. Это указывает на стратегический сдвиг в действиях злоумышленников, направленный на захват высокоценной личной или финансовой информации, которую пользователи могут мимолетно записывать, например, PIN-коды, ответы на контрольные вопросы или сид-фразы криптокошельков. Анализ инфраструктуры и кодовой базы троянца позволяет предположить, что он является прямым потомком вредоносного ПО Phoenix, а имеющиеся свидетельства указывают на возможное использование его разработчиками больших языковых моделей (LLM) для помощи в программировании, на что намекают обширное внутреннее логирование и необычное присутствие эмодзи в исходном коде.
Метод распространения Perseus использует популярный спрос на нелегальный стриминговый контент. Подобно другим недавним угрозам, таким как троянец Massiv, Perseus маскируется под легитимное приложение IPTV (интернет-телевидения). Он нацелен на пользователей, которые хотят установить приложения из сторонних источников для доступа к премиальным телеканалам и фильмам без подписки. Встраивая свою вредоносную полезную нагрузку в этот желаемый и ожидаемый пакет программного обеспечения, дроппер успешно обходит первоначальные подозрения пользователя. После установки троянец злоупотребляет разрешениями специальных возможностей для скрытной установки полной банковской полезной нагрузки, предоставляя злоумышленникам удаленный контроль над устройством.
Происхождение Perseus восходит к банковскому троянцу Cerberus, впервые задокументированному в 2019 году за злоупотребление службой специальных возможностей Android для захвата устройств и кражи данных. После публичной утечки исходного кода Cerberus в 2020 году появилось множество вариантов, включая Alien, ERMAC и Phoenix. Perseus — это новейшая и наиболее продвинутая итерация в этом семействе, демонстрирующая, как киберпреступники постоянно совершенствуют и гибридизируют вредоносный код. Его появление подчеркивает сохраняющуюся угрозу мобильного банковского вредоносного ПО и необходимость для пользователей проявлять крайнюю осторожность, избегая загрузок из неофициальных источников и тщательно проверяя разрешения приложений, особенно те, которые запрашивают доступ к специальным возможностям.
