新型Perseus银行恶意软件监控笔记应用以提取敏感数据

网络安全研究人员披露了一种名为Perseus的新型Android恶意软件家族，该恶意软件正在野外活跃传播，旨在进行设备接管（DTO）和金融欺诈。

Perseus基于Cerberus和Phoenix的基础构建，同时发展成为一个"更加灵活和强大的平台"，通过伪装投放应用程序经由钓鱼网站分发来入侵Android设备。

ThreatFabric在向The Hacker News分享的报告中表示："通过基于辅助功能的远程会话，该恶意软件能够实时监控并与感染设备进行精确交互，实现完全的设备接管，针对多个地区，主要聚焦于土耳其和意大利。除了传统的凭证窃取，Perseus还监控用户笔记，表明其专注于提取高价值的个人或金融信息。"

Cerberus最初由荷兰移动安全公司于2019年8月记录，突出了该恶意软件滥用Android辅助功能服务来授予自身额外权限，以及通过显示虚假覆盖屏幕来窃取敏感数据和凭证。在2020年源代码泄露后，出现了多个变种，包括Alien、ERMAC和Phoenix。

Perseus分发的一些恶意软件样本如下：

Roja App Directa（com.xcvuc.ocnsxn）- 投放器

TvTApp（com.tvtapps.live）- Perseus载荷

PolBox Tv（com.streamview.players）- Perseus载荷

ThreatFabric的分析发现，该恶意软件在Phoenix代码库基础上进行了扩展，威胁行为者可能依赖大语言模型来协助开发。这基于诸如广泛的应用内日志记录和源代码中出现表情符号等指标得出。

与最近披露的Massiv Android恶意软件一样，Perseus伪装成IPTV服务来针对那些希望在设备上侧载此类应用以观看付费内容的用户。分发该恶意软件的活动主要针对土耳其、意大利、波兰、德国、法国、阿联酋和葡萄牙。

ThreatFabric表示："通过将其载荷嵌入到这种预期的环境中，Perseus恶意软件有效地减少了用户怀疑并提高了感染成功率，将恶意活动与此类服务的常见分发模式相融合。"

一旦部署，Perseus的功能与其他Android银行恶意软件没有区别，它会发起覆盖攻击并捕获击键来实时截获用户输入，在金融应用和加密货币服务上显示虚假界面以窃取凭证。

该恶意软件还允许操作者通过命令控制（C2）面板远程发出指令，执行和授权欺诈交易。支持的一些命令如下：

scan_notes，用于从各种笔记应用中捕获内容，如Google Keep、小米笔记、三星笔记、ColorNote记事本笔记、印象笔记、Simple Notes Pro、Simple Notes和Microsoft OneNote（指定了错误的包名"com.microsoft.onenote"而不是"com.microsoft.office.onenote"）。

start_vnc，启动受害者屏幕的近实时视觉流。

stop_vnc，停止远程会话。

start_hvnc，传输UI层次结构的结构化表示，并允许威胁行为者以编程方式与UI元素交互。

stop_hvnc，停止远程会话。

enable_accessibility_screenshot，启用使用辅助功能服务截图。

disable_accessibility_screenshot，禁用使用辅助功能服务截图。

unblock_app，从黑名单中移除应用程序。

clear_blocked，清除被阻止应用程序的整个列表。

action_blackscreen，显示黑屏覆盖以隐藏设备活动。

nighty，静音音频。

click_coord，在特定屏幕坐标处执行点击。

install_from_unknown，强制从未知来源安装。

start_app，启动指定应用程序。

Perseus执行广泛的环境检查来检测调试器和分析工具（如Frida和Xposed）的存在，验证是否插入了SIM卡，确定已安装应用的数量以及是否异常少，并验证电池值以确保它在真实设备上运行。

该恶意软件随后将所有这些信息结合起来制定一个总体怀疑评分，发送到C2面板以决定下一步行动以及操作者是否应该继续进行数据窃取。

ThreatFabric表示："Perseus突出了Android恶意软件的持续演进，展示了现代威胁如何在Cerberus和Phoenix等既有家族基础上构建，同时引入有针对性的改进而非全新的范式。其能力范围从基于辅助功能的远程控制和覆盖攻击到笔记监控，显示了对最大化设备交互和收集数据价值的明确关注。这种继承功能与选择性创新之间的平衡反映了恶意软件开发中效率和适应性的更广泛趋势。"

Q&A

Q1：Perseus恶意软件是什么？它有哪些危害？

A：Perseus是一种新型Android银行恶意软件，基于Cerberus和Phoenix构建而成。它主要通过伪装成IPTV服务的投放应用传播，能够实现完全的设备接管，窃取用户凭证，监控笔记应用内容，进行金融欺诈。该恶意软件主要针对土耳其、意大利等多个国家的用户。

Q2：Perseus恶意软件如何感染用户设备？

A：Perseus主要通过伪装成IPTV服务的应用程序进行传播，这些恶意应用通过钓鱼网站分发。用户在寻找侧载IPTV应用观看付费内容时容易中招。该恶意软件利用这种常见的分发模式来降低用户警惕性，提高感染成功率。

Q3：Perseus恶意软件具有哪些特殊功能？

A：除了传统的银行恶意软件功能外，Perseus还具有监控笔记应用内容的能力，可以从Google Keep、小米笔记、三星笔记等多款笔记应用中提取信息。它还支持远程控制、屏幕录制、UI交互、强制安装应用等多种高级功能，并能够检测分析工具来规避检测。