Los investigadores de ciberseguridad han descubierto una nueva familia de malware para Android llamada Perseus que se distribuye activamente para la adquisición de dispositivos (DTO) y el fraude financiero.
Perseus se basa en los cimientos de Cerberus y Phoenix mientras evoluciona hacia una «plataforma más flexible y capaz» para comprometer dispositivos Android a través de aplicaciones distribuidas a través de sitios de phishing.
«A través de sesiones remotas basadas en accesibilidad, este malware permite el monitoreo en tiempo real y la interacción precisa con dispositivos infectados, lo que permite el secuestro completo de dispositivos y apunta a varias regiones con un enfoque en Turquía e Italia», dijo ThreatFabric en un informe compartido con The Hacker News.
«Más allá del robo de credenciales tradicional, vemos a Perseus monitoreando las notas de los usuarios y centrándose en extraer información personal y financiera de alto valor».
Cerberus fue documentado por primera vez por una empresa holandesa de seguridad móvil en agosto de 2019, destacando que el malware explota los servicios de accesibilidad de Android para otorgarse privilegios adicionales y proporcionar pantallas superpuestas falsas para robar credenciales y datos confidenciales. Después de que se filtró el código fuente en 2020, surgieron múltiples variantes, incluidas Alien, ERMAC y Phoenix.
Algunos de los artefactos distribuidos por Perseo se enumeran a continuación.
Roja App Directa (com.xcvuc.ocnsxn) – Dropper TvTApp (com.tvtapps.live) – Carga útil de Perseus PolBox Tv (com.streamview.players) – Carga útil de Perseus
El análisis de ThreatFabric encontró que el malware extiende el código base de Phoenix y que los atacantes probablemente dependan de modelos de lenguaje a gran escala (LLM) para ayudar en el desarrollo. Esto se basa en indicadores como registros extensos en la aplicación y la presencia de emojis en el código fuente.
Al igual que el malware Massiv para Android lanzado recientemente, Perseus se disfraza como un servicio de IPTV y se dirige a los usuarios que buscan descargar dichas aplicaciones en sus dispositivos para ver contenido premium. Esta campaña de distribución de malware se dirige principalmente a Turquía, Italia, Polonia, Alemania, Francia, Emiratos Árabes Unidos y Portugal.
«Al incorporar su carga útil dentro de este contexto esperado, el malware Perseus reduce efectivamente la sospecha de los usuarios, aumenta las tasas de éxito de la infección y combina su actividad maliciosa con el modelo de distribución comúnmente aceptado para dichos servicios», dijo ThreatFabric.
Una vez implementado, Perseus no se diferencia de otros programas maliciosos bancarios de Android en que lanza ataques de superposición, captura pulsaciones de teclas e intercepta las entradas del usuario en tiempo real y muestra interfaces falsas en aplicaciones financieras y servicios de criptomonedas para robar credenciales.
El malware también permite a los operadores emitir comandos de forma remota a través de un panel de comando y control (C2) para ejecutar y autorizar transacciones fraudulentas. Algunos de los comandos admitidos son:
scan_notes captura contenido de varias aplicaciones para tomar notas, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes, Microsoft OneNote (especifica el nombre de paquete incorrecto «com.microsoft.onenote» en lugar de «com.microsoft.office.onenote»). start_vnc, inicia una transmisión visual casi en tiempo real de la pantalla de la víctima. stop_vnc, detiene una sesión remota. start_hvnc envía una representación estructurada de la jerarquía de la interfaz de usuario y permite a los actores de amenazas interactuar mediante programación con los elementos de la interfaz de usuario. stop_hvnc, detiene una sesión remota. enable_accessibility_screenshot, permite tomar capturas de pantalla utilizando servicios de accesibilidad. enable_accessibility_screenshot, desactiva la realización de capturas de pantalla utilizando los servicios de accesibilidad. unblock_app, elimina una aplicación de la lista de bloqueo. clear_blocked, borra la lista completa de aplicaciones bloqueadas. action_blackscreen muestra una pantalla superpuesta en negro para ocultar la actividad del dispositivo al usuario. Buenas noches, silencia el audio. click_coord, realiza un toque en coordenadas de pantalla específicas. install_from_unknown, fuerza la instalación desde fuentes desconocidas. start_app, inicia la aplicación especificada.
Perseus realiza una amplia gama de comprobaciones ambientales para detectar la presencia de depuradores y herramientas de análisis como Frida y Xused, además de comprobar si hay una tarjeta SIM insertada, comprobar cuántas aplicaciones están instaladas y si están inusualmente bajas, y verificar los valores de la batería para asegurarse de que se estén ejecutando en un dispositivo real.
Luego, el malware combina toda esta información para crear una puntuación de sospecha general y la envía al panel C2 para determinar el siguiente curso de acción y si el operador debe continuar con el robo de datos.
«Perseus destaca la evolución continua del malware para Android, mostrando cómo las amenazas modernas se basan en familias establecidas como Cerberus y Phoenix al tiempo que introducen mejoras específicas en lugar de paradigmas completamente nuevos», dijo ThreatFabric.
«Si bien sus capacidades van desde control remoto basado en accesibilidad y ataques de superposición hasta monitoreo de notas, está claramente enfocado en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Este equilibrio entre la funcionalidad heredada y la innovación selectiva refleja una tendencia más amplia hacia la eficiencia y adaptabilidad en el desarrollo de malware».
Source link
