El nuevo malware bancario Android de Perseus monitorea las aplicaciones de notas para extraer datos confidenciales...

Los investigadores de ciberseguridad han revelado una nueva familia de malware para Android llamada Perseo que se distribuye activamente en la naturaleza con el objetivo de llevar a cabo la adquisición de dispositivos (DTO) y el fraude financiero.

Perseo está construido sobre los cimientos de Cerbero y Phoenix, al mismo tiempo que evolucionan hasta convertirse en una «plataforma más flexible y capaz» para poner en peligro los dispositivos Android a través de aplicaciones de dropper distribuidas a través de sitios de suplantación de identidad.

«A través de sesiones remotas basadas en la accesibilidad, el malware permite la supervisión en tiempo real y la interacción precisa con los dispositivos infectados, lo que permite apoderarse por completo de los dispositivos y atacar varias regiones, con un fuerte enfoque en Turquía e Italia», dijo ThreatFabric dijo en un informe compartido con The Hacker News.

«Más allá del robo de credenciales tradicional, Perseus monitorea las notas de los usuarios, lo que indica que se centra en extraer información personal o financiera de alto valor».

Cerberus fue primera documentación de la empresa holandesa de seguridad móvil en agosto de 2019, destacando el abuso del malware contra Android servicio de accesibilidad para concederse permisos adicionales, así como para robar datos y credenciales confidenciales publicando pantallas superpuestas falsas. Tras la filtración de su código fuente en 2020, múltiples variantes han surgido, incluyendo Alien, ERMAC , y Fénix .

Algunos de los artefactos distribuidos por Perseo se enumeran a continuación:

• Roja App Directa (com.xcvuc.ocnsxn) - Dropper
• TVTapp (com.tvtapps.live) - Carga útil de Perseo
• PolBox Tv (com.streamview.players) - Carga útil de Perseo

El análisis de ThreatFabric ha descubierto que el malware se expande en la base de código de Phoenix, y es probable que los actores de la amenaza confíen en un modelo de lenguaje grande (LLM) para ayudar en el desarrollo. Esto se basa en indicadores como el extenso registro en la aplicación y la presencia de emojis en el código fuente.

Al igual que con el recientemente divulgado Masivo Perseus, malware para Android, se hace pasar por servicios de IPTV para dirigirse a los usuarios que buscan descargar estas aplicaciones en sus dispositivos para ver contenido premium. Las campañas que distribuyen el malware se han dirigido principalmente a Turquía, Italia, Polonia, Alemania, Francia, los Emiratos Árabes Unidos y Portugal.

«Al integrar su carga útil en este contexto esperado, el malware Perseus reduce eficazmente las sospechas de los usuarios y aumenta las tasas de éxito de las infecciones, combinando la actividad maliciosa con un modelo de distribución comúnmente aceptado para dichos servicios», afirma ThreatFabric.

Una vez desplegado, Perseus funciona de la misma manera que otros programas maliciosos bancarios para Android, ya que lanza ataques superpuestos y captura las pulsaciones de teclas para interceptar las entradas de los usuarios en tiempo real y mostrar interfaces falsas en aplicaciones financieras y servicios de criptomonedas para robar credenciales.

El malware también permite al operador emitir comandos de forma remota a través de un panel de comando y control (C2) y realizar y autorizar transacciones fraudulentas. Algunos de los comandos compatibles son los siguientes:

• escanear_notas , para capturar el contenido de varias aplicaciones para tomar notas, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes y Microsoft OneNote (especifica un nombre de paquete incorrecto «com.microsoft.onenote» en lugar de «com.microsoft.office.onenote»).
• start_vnc , para lanzar una transmisión visual casi en tiempo real de la pantalla de la víctima.
• stop_vnc , para detener la sesión remota.
• start_hvnc , para transmitir una representación estructurada de la jerarquía de la interfaz de usuario y permitir que el actor de la amenaza interactúe con los elementos de la interfaz de usuario mediante programación.
• stop_hvnc , para detener la sesión remota.
• enable_accessibility_screenshot , para permitir la realización de capturas de pantalla mediante el servicio de accesibilidad.
• disable_accessibility_screenshot , para deshabilitar la toma de capturas de pantalla con el servicio de accesibilidad.
• unblock_app , para eliminar una aplicación de la lista de bloqueo.
• clear_blocked , para borrar toda la lista de aplicaciones bloqueadas.
• action_blackscreen , para mostrar una pantalla negra superpuesta y ocultar la actividad del dispositivo al usuario.
• nocturno , para silenciar el audio.
• clic_coord , para realizar un toque en coordenadas específicas de la pantalla.
• instalar_desde_desconocido , para forzar la instalación desde fuentes desconocidas.
• aplicación de inicio , para iniciar una aplicación específica.

Perseus realiza una amplia gama de comprobaciones del entorno para detectar la presencia de depuradores y herramientas de análisis como Frida y Xposed, además de verificar si se ha insertado una tarjeta SIM, determinar la cantidad de aplicaciones instaladas y si es inusualmente baja, y validar los valores de la batería para asegurarse de que funciona en un dispositivo real.

Luego, el malware combina toda esta información para formular una puntuación global de sospecha que se envía al panel C2 para decidir el siguiente curso de acción y si el operador debe continuar con el robo de datos.

«Perseus destaca la continua evolución del malware para Android y demuestra cómo las amenazas modernas se basan en familias establecidas como Cerberus y Phoenix, al tiempo que introduce mejoras específicas en lugar de paradigmas completamente nuevos», afirma ThreatFabric.

«Sus capacidades, que van desde el control remoto basado en la accesibilidad y los ataques superpuestos hasta la monitorización de notas, muestran un claro enfoque en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Este equilibrio entre la funcionalidad heredada y la innovación selectiva refleja una tendencia más amplia hacia la eficiencia y la adaptabilidad en el desarrollo de malware».