Вредоносная программа Perseus: эволюция Android-угроз приводит к полному захвату устройств

Специалисты по мобильным угрозам в ходе исследования обнаружили активные кампании по распространению Perseus в дикой среде. Угроза названа по имени панели управления командного сервера (C2, Command and Control), используемой злоумышленниками. Её фундамент был заложен ещё в 2020 году после утечки исходного кода троянца Cerberus, который затем породил такие семейства, как Ermac и Phoenix. Perseus, в свою очередь, строится именно на базе Phoenix, наследуя его архитектуру и соглашения по именованию, что свидетельствует о непрерывной линии развития одного опасного «генотипа». В ходе анализа были выявлены две основные ветви кода: одна, активная короткое время с обширными отладочными функциями и признаками возможного использования LLM-инструментов (больших языковых моделей) при разработке, и другая, более лаконичная и скрытная, которая распространяется в настоящее время. Ключевое различие между ними, помимо функционала, - язык именования классов: английский в первой и турецкий во второй, что указывает на географическую специфику.

Стратегия распространения Perseus демонстрирует понимание злоумышленниками поведенческих паттернов пользователей. Во всех наблюдаемых кампаниях вредоносная нагрузка маскируется под приложения для IPTV-сервисов. Данная тактика выбрана не случайно: такие приложения часто распространяются вне официальных магазинов, вроде Google Play Маркета, и пользователи уже привыкли к ручной установке APK-файлов (событие, известное как sideloading). Это снижает уровень подозрительности и повышает успешность заражения. Для обхода ограничений Android 13 и выше при установке извне маркета Perseus использует дроппер - приложение-установщик, которое не уникально для этого семейства и также применялось для распространения других угроз, таких как Klopatra и Medusa. Географический фокус кампаний чётко прослеживается: основными целями являются пользователи в Турции и Италии, о чём говорит список целевых финансовых учреждений этих стран, встроенный в код для атак с помощью наложения (overlay attack).

Функциональность Perseus представляет серьёзную опасность, обеспечивая злоумышленникам практически полный контроль над устройством жертвы. Программа напрямую наследует от Phoenix способность к оверлейным атакам и перехвату нажатий клавиш (кейлоггингу), что позволяет в реальном времени перехватывать вводимые учётные данные, подменяя легитимные интерфейсы банковских приложений или сервисов на фишинговые. Однако главная мощь Perseus заключается в модуле интерактивного удалённого управления, который реализует возможность полного захвата устройства (DTO, Device Takeover). Злоумышленник может в реальном времени видеть экран жертвы, получая скриншоты через API "takeScreenshot()", или же получать структурированное JSON-представление иерархии элементов интерфейса. Это позволяет оператору не только наблюдать, но и программно взаимодействовать с любыми элементами на экране - нажимать кнопки, вводить текст, совершать свайпы, - что открывает путь к авторизации и проведению мошеннических транзакций без ведома владельца устройства.

Помимо традиционного сбора банковских данных, Perseus демонстрирует расширенный интерес к контекстуальной информации. Одна из новых отличительных возможностей - мониторинг приложений для заметок. По команде с C2-сервера вредоносная программа с помощью служб специальных возможностей (Accessibility Services) автоматически открывает популярные блокноты, перебирает все созданные пользователем записи и отправляет их содержимое злоумышленнику. В заметках часто хранятся пароли, финансовые детали, seed-фразы криптокошельков или личные мысли, что делает их высокоценной добычей. Этот функционал подчёркивает сдвиг в сторону сбора более разносторонней и глубокой информации о жертве.

Не менее впечатляющи усилия, которые Perseus прилагает для защиты от анализа и обнаружения. Программа проводит комплексную оценку рисков окружения, выполняя десятки проверок на предмет нахождения в песочнице или под инструментами исследователя. В их число входит поиск признаков рутирования, отладчика, инструментов динамического анализа, таких как Frida и Xposed, проверка реалистичности данных SIM-карты, показателей батареи, аппаратных характеристик и даже количества установленных приложений. Все собранные данные агрегируются в единый «балл подозрительности», который отправляется оператору для принятия решения о продолжении работы или переходе в спящий режим. Такие сложные анти-аналитические меры свидетельствуют о высокой степени профессионализма разработчиков и их стремлении к максимальной скрытности и живучести.

Появление Perseus - закономерный этап в эволюции мобильных угроз. Это не революция, а целенаправленная эволюция, где из проверенной временем основы, такой как Phoenix, вырастает более приспособленный и многофункциональный хищник. Его способности, от удалённого управления до целенаправленного сбора данных из заметок, показывают стремление максимизировать как контроль над устройством, так и ценность извлекаемой информации. Переиспользование инфраструктуры распространения и кодовой базы с другими семействами, например Medusa, указывает на формирование экосистемы, где инструменты, методы доставки и код циркулируют между различными криминальными группами. Для специалистов по информационной безопасности этот случай служит напоминанием о критической важности контроля над установкой приложений из ненадёжных источников, постоянного мониторинга активности служб специальных возможностей и необходимости использования современных решений для защиты конечных точек (EDR, Endpoint Detection and Response), способных выявлять сложное вредоносное поведение, выходящее за рамки сигнатурного анализа. Борьба с такими адаптивными угрозами требует не менее гибкого и многоуровневого подхода к защите.

SHA256

• 1ea8360c4d3b7ccea50e9f19630be9d23df26ac713799e2f8457520c0d29bdda
• 2524e9d5ed1e55332fe2d1cc0e7ad4e2656ad5ca624199e6f619325979b3529a
• 56d3bb5e8771b41b11d368e70ddd26fe6f1e7bd00b3aafcfd4c34ef62f87093d