Perseus: Nuevo malware Android que roba datos sensibles desde notas
Publicado el
Descubrimiento de Perseus
Investigadores de ciberseguridad han identificado un nuevo malware para Android, conocido como Perseus, que se distribuye activamente con el objetivo de llevar a cabo tomas de control de dispositivos (DTO) y fraudes financieros. Este malware se basa en las estructuras de Cerberus y Phoenix, evolucionando hacia una plataforma más flexible y capaz de comprometer dispositivos Android mediante aplicaciones dropper distribuidas a través de sitios de phishing.
Funcionalidades del malware
Perseus utiliza sesiones remotas basadas en accesibilidad que permiten un monitoreo en tiempo real y una interacción precisa con los dispositivos infectados, facilitando así el control total del dispositivo. Sus objetivos principales son regiones como Turquía e Italia. Según el informe de ThreatFabric, además del robo tradicional de credenciales, Perseus se centra en el monitoreo de aplicaciones de notas, lo que indica su interés por extraer información personal o financiera de alto valor.
Evolución del malware
Cerberus fue documentado por primera vez en agosto de 2019, destacando su capacidad para abusar del servicio de accesibilidad de Android y robar datos sensibles mediante pantallas de superposición falsas. Tras la filtración de su código fuente en 2020, han surgido múltiples variantes, incluyendo Alien, ERMAC, y Phoenix. Perseus se basa en el código de Phoenix y se sospecha que los actores de la amenaza están utilizando modelos de lenguaje (LLM) para su desarrollo, como lo indican los extensos registros en la aplicación y la presencia de emojis en el código fuente.
Estrategias de distribución
El malware se disfraza como servicios de IPTV, apuntando a usuarios que buscan aplicaciones para ver contenido premium. Las campañas de distribución han tenido como objetivo principal países como Polonia, Alemania, Francia, Emiratos Árabes Unidos, y Portugal. Al enmascarar su carga dentro de este contexto, Perseus reduce la sospecha del usuario y aumenta las tasas de éxito de infección, combinando actividad maliciosa con un modelo de distribución comúnmente aceptado.
Métodos de ataque
Una vez desplegado, Perseus opera de manera similar a otros malware bancarios en Android, lanzando ataques de superposición y capturando pulsaciones de teclas para interceptar las entradas del usuario. Además, permite al operador emitir comandos de forma remota a través de un panel de comando y control (C2) y realizar transacciones fraudulentas. Entre los comandos que soporta se encuentran:
- scan_notes: Captura el contenido de diversas aplicaciones de notas como Google Keep, Xiaomi Notes, y Microsoft OneNote. - start_vnc: Lanza un stream visual casi en tiempo real de la pantalla de la víctima. - enable_accessibility_screenshot: Activa la captura de pantallas utilizando el servicio de accesibilidad. - action_blackscreen: Muestra una pantalla negra para ocultar la actividad del dispositivo al usuario.
Detección y evasión
Perseus realiza una serie de comprobaciones para detectar la presencia de depuradores y herramientas de análisis, como Frida y Xposed, así como verificar la inserción de tarjetas SIM y el número de aplicaciones instaladas. Esta información se utiliza para calcular un índice de sospecha que se envía al panel C2, determinando el siguiente paso en el robo de datos.
Conclusión
El caso de Perseus subraya la evolución continua del malware en Android, mostrando cómo las amenazas modernas se basan en familias establecidas como Cerberus y Phoenix, al tiempo que introducen mejoras específicas. Sus capacidades, que van desde el control remoto basado en accesibilidad hasta el monitoreo de notas, reflejan un enfoque en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Esta tendencia hacia la eficiencia y la adaptabilidad en el desarrollo de malware es preocupante para la seguridad de los usuarios.