Investigadores de ThreatFabric han descubierto Perseus, un malware para Android que se distribuye a través de tiendas de aplicaciones no oficiales, disfrazado de aplicaciones IPTV, especialmente de streaming deportivo. El método de infección es estratégico: los usuarios que acostumbran a instalar APKs fuera de Google Play Store suelen ignorar las alertas de seguridad. Este fenómeno se ha intensificado en los últimos ocho meses, impulsado por la búsqueda de transmisiones deportivas gratuitas.
Play Protect signale une application frauduleuse sur un smartphone Android. Le malware Perseus contourne ce type de protection lorsqu’il est installé depuis des boutiques non officielles.
© Shuttershock
Construido sobre la base del código de Phoenix, a su vez derivado del conocido Cerberus, cuyo código fuente se filtró hace casi seis años, Perseus existe en dos versiones. Una, en turco, se dirige principalmente a instituciones financieras turcas (17 instituciones objetivo). La otra, en inglés y más avanzada, incorpora un sistema de registro repleto de emojis, un fuerte indicio del uso de herramientas de inteligencia artificial durante el desarrollo. Italia (15 objetivos), Polonia (5), Alemania (3) y Francia (2) también figuran en el ámbito de acción, junto con nueve aplicaciones de criptomonedas.
Des notas personales examinadas, una novedad
La particularidad de Perseus reside en su capacidad para explorar metódicamente las aplicaciones de toma de notas: Google Maintain, Samsung Notes, Evernote, Microsoft OneNote o ColorNote. Al explotar los servicios de accesibilidad de Android, el malware abre cada aplicación, recorre las notas una por una y extrae su contenido.
Donde la mayoría de las familias de malware de Android se centran en el robo de credenciales o la interceptación de comunicaciones, esta funcionalidad traduce un interés más amplio por los datos contextuales y organizados personalmente por el usuario.
ThreatFabric destaca que nunca antes había observado este comportamiento en un malware de Android. Las notas a menudo contienen información que sus propietarios consideran confidencial, ya sean frases de recuperación de carteras cripto o simples identificadores.
Un arsenal completo para la toma de control
Más allá de esta función innovadora, Perseus ofrece a sus operadores un control total del terminal infectado: captura de pantalla continua, simulación de gestos táctiles, superposición de pantallas fraudulentas y registro de pulsaciones de teclas. Antes de cualquier ejecución, el malware calcula una “puntuación de sospecha” analizando la presencia de un entorno root, las características del hardware o la disponibilidad de los Servicios de Google Play, para descartar los emuladores utilizados por los analistas.
Las notas a menudo contienen información sensible como contraseñas, frases de recuperación, datos financieros o pensamientos privados, lo que las convierte en un objetivo de gran valor para los atacantes.
Para prevenirlo, es mejor ceñirse a las aplicaciones disponibles en Play Store y verificar que Google Play Protect permanezca activado permanentemente.
Capture du dropper de Perseus déguisé en Roja Directa TV, une application IPTV de streaming sportif. Fausse note de 4.8, badge Fonte Verificata, 542 000 téléchargements affichés : tout est fabriqué pour inspirer confiance.
© ThreatFabric
¿Buscas ahorrar aún más? Descubre nuestros códigos promocionales seleccionados para ti.
