⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram uma nova família de malware para Android chamada Perseus, que está sendo distribuída ativamente com o objetivo de realizar aquisição de dispositivos (DTO) e fraude financeira.
O Perseus é construído sobre os fundamentos do Cerberus e Phoenix, ao mesmo tempo evoluindo para uma “plataforma mais flexível e capaz” para comprometer dispositivos Android por meio de aplicativos dropper distribuídos por sites de phishing.
“Através de sessões remotas baseadas em acessibilidade, o malware permite monitoramento em tempo real e interação precisa com dispositivos infectados, permitindo o controle total dos dispositivos e visando várias regiões, com forte foco na Turquia e na Itália”, disse ThreatFabric em um relatório compartilhado com The Hacker News.
"Além do tradicional roubo de credenciais, o Perseus monitora as notas dos usuários, indicando um foco na extração de informações pessoais ou financeiras de alto valor."
O Cerberus foi documentado pela primeira vez pela empresa holandesa de segurança móvel em agosto de 2019, destacando o abuso do serviço de acessibilidade do Android pelo malware para conceder permissões adicionais, bem como roubar dados e credenciais confidenciais ao exibir telas de sobreposição falsas. Após o vazamento de seu código-fonte em 2020, surgiram múltiplas variantes, incluindo Alien, ERMAC e Phoenix.
Alguns dos artefatos distribuídos pela Perseus estão listados abaixo -
Roja App Directa (com.xcvuc.ocnsxn) - Conta-gotas
TvTApp (com.tvtapps.live) - carga útil do Perseus
PolBox Tv (com.streamview.players) - carga útil do Perseus
A análise do ThreatFabric descobriu que o malware se expande na base de código Phoenix, com os atores da ameaça provavelmente contando com um modelo de linguagem grande (LLM) para auxiliar no desenvolvimento. Isso se baseia em indicadores como extenso registro no aplicativo e presença de emojis no código-fonte.
Tal como acontece com o malware Massiv Android recentemente divulgado, o Perseus se disfarça como serviços de IPTV para atingir usuários que desejam fazer o sideload de tais aplicativos em seus dispositivos para assistir a conteúdo premium. As campanhas de distribuição do malware visaram principalmente a Turquia, Itália, Polónia, Alemanha, França, Emirados Árabes Unidos e Portugal.
“Ao incorporar sua carga dentro deste contexto esperado, o malware Perseus reduz efetivamente a suspeita do usuário e aumenta as taxas de sucesso de infecção, combinando atividades maliciosas com um modelo de distribuição comumente aceito para tais serviços”, disse ThreatFabric.
Uma vez implantado, o Perseus não funciona de maneira diferente de outros malwares bancários para Android, pois lança ataques de sobreposição e captura pressionamentos de teclas para interceptar a entrada do usuário em tempo real e exibir interfaces falsas em aplicativos financeiros e serviços de criptomoeda para roubar credenciais.
O malware também permite que o operador emita comandos remotamente através de um painel de comando e controle (C2) e execute e autorize transações fraudulentas. Alguns dos comandos suportados são os seguintes -
scan_notes, para capturar conteúdo de vários aplicativos de anotações, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes e Microsoft OneNote (especifica o nome de pacote errado "com.microsoft.onenote" em vez de "com.microsoft.office.onenote").
start_vnc, para lançar um fluxo visual quase em tempo real da tela da vítima.
stop_vnc, para interromper a sessão remota.
start_hvnc, para transmitir uma representação estruturada da hierarquia da IU e permitir que o agente da ameaça interaja com os elementos da IU de forma programática.
stop_hvnc, para interromper a sessão remota.
enable_accessibility_screenshot, para permitir a captura de tela usando o serviço de acessibilidade.
disable_accessibility_screenshot, para desabilitar a captura de tela usando o serviço de acessibilidade.
unblock_app, para remover um aplicativo da lista de bloqueio.
clear_blocked, para limpar toda a lista de aplicativos bloqueados.
action_blackscreen, para exibir uma sobreposição de tela preta para ocultar a atividade do dispositivo do usuário.
boa noite, para silenciar o áudio.
click_coord, para tocar em coordenadas específicas da tela.
install_from_unknown, para forçar a instalação de fontes desconhecidas.
start_app, para iniciar um aplicativo especificado.
Perseus realiza uma ampla gama de verificações de ambiente para detectar a presença de depuradores e ferramentas de análise como Frida e Xposed, bem como verificar se um cartão SIM foi inserido, determinar o número de aplicativos instalados e se está excepcionalmente baixo e validar os valores da bateria para garantir que esteja funcionando em um dispositivo real.
O malware então combina todas essas informações para formular uma pontuação geral de suspeita que é enviada ao painel C2 para decidir o próximo curso de ação e se o operador deve prosseguir com o roubo de dados.
“Perseus destaca a evolução contínua do malware Android, demonstrando como as ameaças modernas se baseiam em famílias estabelecidas como Cerberus e Phoenix, ao mesmo tempo que introduz melhorias direcionadas em vez de paradigmas inteiramente novos”, disse ThreatFabric.
O Perseus é construído sobre os fundamentos do Cerberus e Phoenix, ao mesmo tempo evoluindo para uma “plataforma mais flexível e capaz” para comprometer dispositivos Android por meio de aplicativos dropper distribuídos por sites de phishing.
“Através de sessões remotas baseadas em acessibilidade, o malware permite monitoramento em tempo real e interação precisa com dispositivos infectados, permitindo o controle total dos dispositivos e visando várias regiões, com forte foco na Turquia e na Itália”, disse ThreatFabric em um relatório compartilhado com The Hacker News.
"Além do tradicional roubo de credenciais, o Perseus monitora as notas dos usuários, indicando um foco na extração de informações pessoais ou financeiras de alto valor."
O Cerberus foi documentado pela primeira vez pela empresa holandesa de segurança móvel em agosto de 2019, destacando o abuso do serviço de acessibilidade do Android pelo malware para conceder permissões adicionais, bem como roubar dados e credenciais confidenciais ao exibir telas de sobreposição falsas. Após o vazamento de seu código-fonte em 2020, surgiram múltiplas variantes, incluindo Alien, ERMAC e Phoenix.
Alguns dos artefatos distribuídos pela Perseus estão listados abaixo -
Roja App Directa (com.xcvuc.ocnsxn) - Conta-gotas
TvTApp (com.tvtapps.live) - carga útil do Perseus
PolBox Tv (com.streamview.players) - carga útil do Perseus
A análise do ThreatFabric descobriu que o malware se expande na base de código Phoenix, com os atores da ameaça provavelmente contando com um modelo de linguagem grande (LLM) para auxiliar no desenvolvimento. Isso se baseia em indicadores como extenso registro no aplicativo e presença de emojis no código-fonte.
Tal como acontece com o malware Massiv Android recentemente divulgado, o Perseus se disfarça como serviços de IPTV para atingir usuários que desejam fazer o sideload de tais aplicativos em seus dispositivos para assistir a conteúdo premium. As campanhas de distribuição do malware visaram principalmente a Turquia, Itália, Polónia, Alemanha, França, Emirados Árabes Unidos e Portugal.
“Ao incorporar sua carga dentro deste contexto esperado, o malware Perseus reduz efetivamente a suspeita do usuário e aumenta as taxas de sucesso de infecção, combinando atividades maliciosas com um modelo de distribuição comumente aceito para tais serviços”, disse ThreatFabric.
Uma vez implantado, o Perseus não funciona de maneira diferente de outros malwares bancários para Android, pois lança ataques de sobreposição e captura pressionamentos de teclas para interceptar a entrada do usuário em tempo real e exibir interfaces falsas em aplicativos financeiros e serviços de criptomoeda para roubar credenciais.
O malware também permite que o operador emita comandos remotamente através de um painel de comando e controle (C2) e execute e autorize transações fraudulentas. Alguns dos comandos suportados são os seguintes -
scan_notes, para capturar conteúdo de vários aplicativos de anotações, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes e Microsoft OneNote (especifica o nome de pacote errado "com.microsoft.onenote" em vez de "com.microsoft.office.onenote").
start_vnc, para lançar um fluxo visual quase em tempo real da tela da vítima.
stop_vnc, para interromper a sessão remota.
start_hvnc, para transmitir uma representação estruturada da hierarquia da IU e permitir que o agente da ameaça interaja com os elementos da IU de forma programática.
stop_hvnc, para interromper a sessão remota.
enable_accessibility_screenshot, para permitir a captura de tela usando o serviço de acessibilidade.
disable_accessibility_screenshot, para desabilitar a captura de tela usando o serviço de acessibilidade.
unblock_app, para remover um aplicativo da lista de bloqueio.
clear_blocked, para limpar toda a lista de aplicativos bloqueados.
action_blackscreen, para exibir uma sobreposição de tela preta para ocultar a atividade do dispositivo do usuário.
boa noite, para silenciar o áudio.
click_coord, para tocar em coordenadas específicas da tela.
install_from_unknown, para forçar a instalação de fontes desconhecidas.
start_app, para iniciar um aplicativo especificado.
Perseus realiza uma ampla gama de verificações de ambiente para detectar a presença de depuradores e ferramentas de análise como Frida e Xposed, bem como verificar se um cartão SIM foi inserido, determinar o número de aplicativos instalados e se está excepcionalmente baixo e validar os valores da bateria para garantir que esteja funcionando em um dispositivo real.
O malware então combina todas essas informações para formular uma pontuação geral de suspeita que é enviada ao painel C2 para decidir o próximo curso de ação e se o operador deve prosseguir com o roubo de dados.
“Perseus destaca a evolução contínua do malware Android, demonstrando como as ameaças modernas se baseiam em famílias estabelecidas como Cerberus e Phoenix, ao mesmo tempo que introduz melhorias direcionadas em vez de paradigmas inteiramente novos”, disse ThreatFabric.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #malware #perseus #android #banking #monitora #aplicativos #de #notas #para #extrair #dados #confidenciais
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário