Nuevo malware bancario Perseus para Android monitorea aplicaciones de notas para extraer datos sensibles

Investigadores de ciberseguridad han descubierto una nueva familia de malware bancario para Android llamada Perseus, que se distribuye activamente para realizar toma de control de dispositivos y fraude financiero. Basado en Cerberus y Phoenix, evoluciona hacia una plataforma más flexible al monitorear aplicaciones de notas para extraer información valiosa, con un enfoque principal en Turquía e Italia.

Perseus: la evolución del malware bancario Android

Investigadores de ciberseguridad han revelado una nueva familia de malware para Android llamada Perseus, que se está propagando activamente con el objetivo de tomar el control total del dispositivo y cometer fraudes financieros. Perseus se basa en los cimientos de Cerberus y Phoenix, evolucionando hacia una plataforma más flexible y potente para comprometer dispositivos Android a través de aplicaciones dropper distribuidas mediante sitios de phishing.

Según ThreatFabric, el malware permite sesiones remotas basadas en el servicio de accesibilidad, lo que posibilita el monitoreo en tiempo real y la interacción precisa con los dispositivos infectados, logrando un control total del dispositivo. Se dirige a varias regiones, con un fuerte enfoque en Turquía e Italia. Más allá del robo tradicional de credenciales, Perseus monitorea las notas del usuario, indicando un interés en extraer información personal o financiera de alto valor.

Cerberus fue documentado por primera vez por ThreatFabric en agosto de 2019, destacando el abuso del servicio de accesibilidad de Android para obtener permisos adicionales y robar datos mediante superposiciones falsas. Tras la filtración de su código fuente en 2020, surgieron múltiples variantes, como Alien, ERMAC y Phoenix.

Artefactos maliciosos identificados

Roja App Directa (com.xcvuc.ocnsxn) - Dropper
TvTApp (com.tvtapps.live) - Carga útil de Perseus
PolBox Tv (com.streamview.players) - Carga útil de Perseus

ThreatFabric descubrió que el malware amplía el código base de Phoenix, y los atacantes probablemente utilizaron un modelo de lenguaje grande para ayudar en el desarrollo, basándose en indicadores como registros extensos en la aplicación y la presencia de emojis en el código fuente.

Técnicas de distribución y ataque

Al igual que el malware Massiv Android, Perseus se hace pasar por servicios IPTV para engañar a usuarios que buscan instalar este tipo de aplicaciones para ver contenido premium. Las campañas se han dirigido principalmente a Turquía, Italia, Polonia, Alemania, Francia, los Emiratos Árabes Unidos y Portugal. Al incrustar su carga útil en este contexto esperado, Perseus reduce la sospecha del usuario y aumenta las tasas de éxito de infección.

Una vez implementado, Perseus funciona como cualquier otro malware bancario Android: lanza ataques de superposición y captura pulsaciones de teclas para interceptar la entrada del usuario en tiempo real, mostrando interfaces falsas sobre aplicaciones financieras y servicios de criptomonedas para robar credenciales. Además, permite al operador emitir comandos remotos a través de un panel de control, y realizar y autorizar transacciones fraudulentas.

Comandos compatibles

scan_notes: captura contenido de aplicaciones de notas como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Simple Notes Pro, Simple Notes y Microsoft OneNote (especifica el nombre de paquete incorrecto).
start_vnc: inicia una transmisión visual casi en tiempo real de la pantalla de la víctima.
stop_vnc: detiene la sesión remota.
start_hvnc: transmite una representación estructurada de la jerarquía de la interfaz para interactuar programáticamente con los elementos.
stop_hvnc: detiene la sesión remota.
enable_accessibility_screenshot: habilita la captura de pantalla mediante el servicio de accesibilidad.
disable_accessibility_screenshot: deshabilita la captura de pantalla.
unblock_app: elimina una aplicación de la lista negra.
clear_blocked: limpia toda la lista de aplicaciones bloqueadas.
action_blackscreen: muestra una superposición de pantalla negra para ocultar la actividad del dispositivo.
nighty: silencia el audio.
click_coord: realiza un toque en coordenadas específicas de la pantalla.
install_from_unknown: fuerza la instalación desde fuentes desconocidas.
start_app: inicia una aplicación específica.

Detección de entorno y evasión

Perseus realiza una amplia gama de comprobaciones del entorno para detectar depuradores y herramientas de análisis como Frida y Xposed, verificar si hay una tarjeta SIM insertada, determinar el número de aplicaciones instaladas y si es inusualmente bajo, y validar los valores de la batería para asegurarse de que se ejecuta en un dispositivo real. Luego combina toda esta información para formular una puntuación de sospecha general que se envía al panel de control para decidir el siguiente paso.

ThreatFabric concluye que Perseus destaca la evolución continua del malware Android, demostrando cómo las amenazas modernas se basan en familias establecidas como Cerberus y Phoenix, introduciendo mejoras específicas en lugar de paradigmas completamente nuevos. Sus capacidades, que van desde el control remoto basado en accesibilidad y ataques de superposición hasta la monitorización de notas, muestran un enfoque claro en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Este equilibrio entre funcionalidad heredada e innovación selectiva refleja una tendencia más amplia hacia la eficiencia y adaptabilidad en el desarrollo de malware.