Аналитики ThreatFabric сообщили о появлении нового Android-вредоноса Perseus, который выводит кражу данных на новый уровень: помимо классического функционала банковского трояна он целенаправленно открывает приложения для заметок на устройстве жертвы и сканирует их содержимое в поисках паролей, seed-фраз и финансовой информации. Такой подход делает угрозу особенно опасной для пользователей, которые привыкли сохранять конфиденциальные данные в заметках вместо менеджеров паролей.
Каналы распространения: пиратские IPTV-приложения как приманка
В настоящий момент Perseus распространяется через неофициальные каталоги Android-приложений под видом сервисов для просмотра пиратских IPTV-трансляций. Злоумышленники эксплуатируют растущий спрос на бесплатные спортивные стримы и привычку пользователей ручного скачивания APK-файлов, игнорируя предупреждения Play Protect и системные уведомления безопасности.
Один из зафиксированных дропперов маскируется под «Roja Directa TV» — бренд, знакомый любителям онлайн-трансляций. Такой выбор названия помогает повысить конверсию заражений: пользователь ожидает «серый» контент и практически не задумывается о легитимности источника приложения.
Происхождение Perseus: эволюция от Cerberus и Phoenix
Исследование кода показало, что Perseus основан на базе малвари Phoenix, которая, в свою очередь, восходит к исходникам Cerberus, утекшим в публичный доступ около шести лет назад. Это типичная картина для Android-экосистемы вредоносов: однажды скомпрометированная кодовая база многократно перерабатывается, дополняется новыми возможностями и развивается независимо разными группировками.
Дроппер Perseus умеет обходить ограничения на установку сторонних приложений в Android 13+, что особенно важно на фоне усиливающейся политики Google по блокировке sideloading-угроз. Ранее аналогичный дроппер использовался для доставки других известных вредоносов — Klopatra и Medusa, что указывает на возможную общность инфраструктуры или обмен инструментами между киберпреступными группами.
Цели атак: банки Европы и криптовалютные приложения
Основной фокус кампании Perseus — финансовый сектор. По данным ThreatFabric, вредонос ориентирован прежде всего на организации в Турции (17 целевых приложений) и Италии (15), а также атакует банки в Польше (5), Германии (3) и Франции (2). Отдельным направлением являются девять криптовалютных приложений, что отражает устойчивый интерес злоумышленников к краже цифровых активов и seed-фраз восстановления кошельков.
Функционал трояна: удалённый контроль и злоупотребление Accessibility Services
Perseus активно злоупотребляет Android Accessibility Services — системным механизмом, предназначенным для помощи людям с ограниченными возможностями. Получив доступ к этим службам, вредонос способен:
- имитировать действия пользователя (нажатия, свайпы, ввод текста);
- перехватывать отображаемое на экране содержимое;
- обходить двухфакторную аутентификацию в банковских и финансовых приложениях;
- производить удалённое управление устройством оператором малвари.
Сбор данных из приложений для заметок: новый вектор угрозы
Ключевая отличительная особенность Perseus — целенаправленная работа с приложениями для заметок. Вредонос распознаёт и открывает популярные сервисы: Google Keep, Samsung Notes, Xiaomi Notes, ColorNote, Evernote, Microsoft OneNote и Simple Notes. Англоязычная версия трояна пошагово проходит по каждому установленному приложению, листает список заметок и анализирует содержание отдельных записей через Accessibility Services.
По наблюдениям ThreatFabric, подобное систематическое сканирование заметок Android-приложений впервые фиксируется у банковских троянов. Исследователи подчёркивают, что многие пользователи хранят в заметках пароли, фразы восстановления криптокошельков, номера карт и другие чувствительные данные, считая такой способ «достаточно безопасным».
Две версии Perseus и следы использования ИИ
Выявлены две языковые сборки Perseus — турецкая и английская. Английская версия выглядит более зрелой с точки зрения разработки: в ней расширены возможности логирования и реализованы дополнительные вспомогательные функции. Аналитики отмечают обилие логов и использование эмодзи в коде, что может указывать на применение инструментов с поддержкой ИИ при написании и отладке вредоносного ПО — ещё один тревожный тренд в киберпреступности.
Механизмы скрытности: «оценка подозрительности» устройства
Перед активацией полного функционала Perseus проводит комплексную антианалитическую проверку среды. Вредонос анализирует наличие root-доступа, признаки эмулятора, параметры SIM-карты, аппаратный профиль, состояние батареи, наличие Bluetooth-модуля, количество установленных приложений и доступность Google Play Services.
На основе этих данных формируется «показатель подозрительности» (suspicion score), который отправляется на управляющий сервер. Уже человек-оператор решает, продолжать ли развитие атаки на конкретное устройство. Такой подход позволяет преступникам экономить ресурсы и снижать риск разоблачения в средах песочниц и лабораторных эмуляторов.
Как защитить Android-устройства от Perseus и подобных троянов
Perseus наглядно демонстрирует, что даже привычные приложения для заметок могут стать источником утечки критически важной информации. Для минимизации рисков целесообразно придерживаться следующих практик:
- Не устанавливать APK из сторонних источников, особенно пиратские IPTV- и стриминговые приложения.
- Максимально ограничить выдачу прав Accessibility Services, предоставляя их только хорошо известным и действительно необходимым приложениям.
- Не хранить пароли, seed-фразы и PIN-коды в обычных заметках; использовать специализированные менеджеры паролей с шифрованием.
- Поддерживать Android и все приложения в актуальном состоянии, своевременно устанавливая обновления безопасности.
- Использовать решения мобильной защиты от авторитетных vendors и регулярно проверять устройство на наличие вредоносов.
Перенос кражи учётных данных из браузеров и банковских приложений в плоскость заметок показывает, как гибко и быстро адаптируются киберпреступники к пользовательским привычкам. Чем больше конфиденциальной информации хранится на смартфоне, тем привлекательнее он становится для операторов мобильных троянов. Пользователям и организациям важно пересмотреть свои подходы к хранению секретов на мобильных устройствах, усилить цифровую гигиену и внимательно относиться к каждому устанавливаемому приложению — особенно если оно обещает «бесплатный контент» в обход официальных каналов.
