新型Perseus銀行惡意軟件監控筆記應用以提取敏感數據

網絡安全研究人員披露了一種名為Perseus的新型Android惡意軟件家族，該惡意軟件正在野外活躍傳播，旨在進行設備接管（DTO）和金融欺詐。

Perseus基于Cerberus和Phoenix的基礎構建，同時發展成為一個"更加靈活和強大的平臺"，通過偽裝投放應用程序經由釣魚網站分發來入侵Android設備。

ThreatFabric在向The Hacker News分享的報告中表示："通過基于輔助功能的遠程會話，該惡意軟件能夠實時監控并與感染設備進行精確交互，實現完全的設備接管，針對多個地區，主要聚焦于土耳其和意大利。除了傳統的憑證竊取，Perseus還監控用戶筆記，表明其專注于提取高價值的個人或金融信息。"

Cerberus最初由荷蘭移動安全公司于2019年8月記錄，突出了該惡意軟件濫用Android輔助功能服務來授予自身額外權限，以及通過顯示虛假覆蓋屏幕來竊取敏感數據和憑證。在2020年源代碼泄露后，出現了多個變種，包括Alien、ERMAC和Phoenix。

Perseus分發的一些惡意軟件樣本如下：

Roja App Directa（com.xcvuc.ocnsxn）- 投放器

TvTApp（com.tvtapps.live）- Perseus載荷

PolBox Tv（com.streamview.players）- Perseus載荷

ThreatFabric的分析發現，該惡意軟件在Phoenix代碼庫基礎上進行了擴展，威脅行為者可能依賴大語言模型來協助開發。這基于諸如廣泛的應用內日志記錄和源代碼中出現表情符號等指標得出。

與最近披露的Massiv Android惡意軟件一樣，Perseus偽裝成IPTV服務來針對那些希望在設備上側載此類應用以觀看付費內容的用戶。分發該惡意軟件的活動主要針對土耳其、意大利、波蘭、德國、法國、阿聯酋和葡萄牙。

ThreatFabric表示："通過將其載荷嵌入到這種預期的環境中，Perseus惡意軟件有效地減少了用戶懷疑并提高了感染成功率，將惡意活動與此類服務的常見分發模式相融合。"

一旦部署，Perseus的功能與其他Android銀行惡意軟件沒有區別，它會發起覆蓋攻擊并捕獲擊鍵來實時截獲用戶輸入，在金融應用和加密貨幣服務上顯示虛假界面以竊取憑證。

該惡意軟件還允許操作者通過命令控制（C2）面板遠程發出指令，執行和授權欺詐交易。支持的一些命令如下：

scan_notes，用于從各種筆記應用中捕獲內容，如Google Keep、小米筆記、三星筆記、ColorNote記事本筆記、印象筆記、Simple Notes Pro、Simple Notes和Microsoft OneNote（指定了錯誤的包名"com.microsoft.onenote"而不是"com.microsoft.office.onenote"）。

start_vnc，啟動受害者屏幕的近實時視覺流。

stop_vnc，停止遠程會話。

start_hvnc，傳輸UI層次結構的結構化表示，并允許威脅行為者以編程方式與UI元素交互。

stop_hvnc，停止遠程會話。

enable_accessibility_screenshot，啟用使用輔助功能服務截圖。

disable_accessibility_screenshot，禁用使用輔助功能服務截圖。

unblock_app，從黑名單中移除應用程序。

clear_blocked，清除被阻止應用程序的整個列表。

action_blackscreen，顯示黑屏覆蓋以隱藏設備活動。

nighty，靜音音頻。

click_coord，在特定屏幕坐標處執行點擊。

install_from_unknown，強制從未知來源安裝。

start_app，啟動指定應用程序。

Perseus執行廣泛的環境檢查來檢測調試器和分析工具（如Frida和Xposed）的存在，驗證是否插入了SIM卡，確定已安裝應用的數量以及是否異常少，并驗證電池值以確保它在真實設備上運行。

該惡意軟件隨后將所有這些信息結合起來制定一個總體懷疑評分，發送到C2面板以決定下一步行動以及操作者是否應該繼續進行數據竊取。

ThreatFabric表示："Perseus突出了Android惡意軟件的持續演進，展示了現代威脅如何在Cerberus和Phoenix等既有家族基礎上構建，同時引入有針對性的改進而非全新的范式。其能力范圍從基于輔助功能的遠程控制和覆蓋攻擊到筆記監控，顯示了對最大化設備交互和收集數據價值的明確關注。這種繼承功能與選擇性創新之間的平衡反映了惡意軟件開發中效率和適應性的更廣泛趨勢。"

Q&A

Q1：Perseus惡意軟件是什么？它有哪些危害？

A：Perseus是一種新型Android銀行惡意軟件，基于Cerberus和Phoenix構建而成。它主要通過偽裝成IPTV服務的投放應用傳播，能夠實現完全的設備接管，竊取用戶憑證，監控筆記應用內容，進行金融欺詐。該惡意軟件主要針對土耳其、意大利等多個國家的用戶。

Q2：Perseus惡意軟件如何感染用戶設備？

A：Perseus主要通過偽裝成IPTV服務的應用程序進行傳播，這些惡意應用通過釣魚網站分發。用戶在尋找側載IPTV應用觀看付費內容時容易中招。該惡意軟件利用這種常見的分發模式來降低用戶警惕性，提高感染成功率。

Q3：Perseus惡意軟件具有哪些特殊功能？

A：除了傳統的銀行惡意軟件功能外，Perseus還具有監控筆記應用內容的能力，可以從Google Keep、小米筆記、三星筆記等多款筆記應用中提取信息。它還支持遠程控制、屏幕錄制、UI交互、強制安裝應用等多種高級功能，并能夠檢測分析工具來規避檢測。