На Android-екосистемі зафіксовано появу нового банківського трояна Perseus, який робить акцент на нетиповому для мобільного зловмисного ПЗ векторі: він цілеспрямовано відкриває застосунки для нотаток на пристрої жертви та сканує вміст записів у пошуках паролів, seed-фраз криптогаманців і фінансових даних. Це створює особливий ризик для користувачів, які звикли зберігати конфіденційні відомості в нотатках замість використання менеджерів паролів.
Як поширюється Perseus: піратські IPTV-застосунки як канал доставки
За даними ThreatFabric, Perseus розповсюджується через неофіційні каталоги Android-застосунків і сайти з APK-файлами, маскуючись під сервіси для перегляду піратських IPTV-трансляцій і спортивних стрімів. Зловмисники експлуатують популярну практику sideloading — ручного встановлення APK в обхід Google Play, коли користувачі ігнорують попередження Play Protect та системні діалоги безпеки.
Один із зафіксованих дропперів замасковано під «Roja Directa TV» — бренд, добре відомий любителям нелегальних онлайн-трансляцій. Такий неймінг знижує пильність: користувач очікує «сіру» послугу й не ставить під сумнів легітимність джерела встановлення.
Походження Perseus: еволюція на базі Phoenix і Cerberus
Аналіз коду показує, що Perseus побудовано на основі шкідливого ПЗ Phoenix, яке, у свою чергу, походить від Cerberus — одного з найвідоміших Android-банкерів, вихідні тексти якого були злиті у публічний доступ кілька років тому. Це типовий сценарій для мобільних троянів: один компрометований код багаторазово переробляється різними угрупованнями, доповнюється новими модулями й розвивається паралельними гілками.
Дроппер Perseus здатен обходити обмеження на встановлення сторонніх застосунків в Android 13+, що особливо показово на тлі посилення політики Google щодо протидії sideloading-загрозам. Раніше аналогічний дроппер використовувався для доставки інших шкідливих програм — Klopatra та Medusa, що вказує на можливу спільну інфраструктуру або обмін інструментами між кримінальними групами.
Цілі атак: європейські банки та криптогаманці
Основний фокус Perseus — фінансові організації та криптовалютні сервіси. Згідно з індикаторами, зловмисне ПЗ орієнтоване насамперед на установи в Туреччині (17 цільових застосунків) та Італії (15), а також атакує банки в Польщі (5), Німеччині (3) і Франції (2). Окремий кластер становлять дев’ять криптовалютних застосунків, що відображає стабільний інтерес атакувальників до викрадення цифрових активів і фраз відновлення гаманців.
Можливості Perseus: повний контроль через Accessibility Services
Perseus активно зловживає Android Accessibility Services — системним механізмом, створеним для підвищення доступності пристрою для людей з інвалідністю. Після отримання доступу до цих служб троян може:
- імітувати жести користувача (натискання, свайпи, введення тексту);
- зчитувати вміст екрана та перехоплювати одноразові коди;
- обходити двофакторну автентифікацію у банківських та фінансових застосунках;
- надавати оператору трояна віддалений контроль над Android-пристроєм.
Крадіжка даних із застосунків для нотаток: новий вектор загроз
Унікальна риса Perseus — . Троян вміє розпізнавати й відкривати Google Keep, Samsung Notes, Xiaomi Notes, ColorNote, Evernote, Microsoft OneNote та Simple Notes. В англомовній версії реалізовано сценарій, який послідовно проходить по кожному встановленому застосунку, перегортає список нотаток і через Accessibility Services аналізує вміст окремих записів.
Експерти ThreatFabric зазначають, що систематичне сканування нотаток уперше зафіксовано саме у банківського трояна. На практиці це означає, що будь-який запис із паролями, seed-фразами, PIN-кодами чи номерами карт може бути непомітно ексфільтрований, попри те, що користувач вважає зберігання таких даних у нотатках «достатньо безпечним».
Дві мовні збірки та сліди використання ШІ
Дослідники виявили дві мовні версії Perseus — турецьку та англійську. Англомовна збірка виглядає більш зрілою: у ній розширені можливості логування та реалізовані додаткові допоміжні функції. Помітна велика кількість логів із використанням емодзі, що може свідчити про застосування інструментів з підтримкою штучного інтелекту під час розробки та налагодження шкідливого ПЗ — тренд, який усе активніше використовують кіберзлочинці для прискорення створення нових троянів.
Антианаліз і «показник підозрілості» пристрою
Перед активацією повного функціоналу Perseus здійснює комплексну перевірку середовища. Троян аналізує наявність root-доступу, ознаки емулятора, параметри SIM-карти, характеристики апаратної платформи, стан батареї, наявність Bluetooth, кількість встановлених застосунків і доступність Google Play Services.
На основі цих параметрів формується «показник підозрілості» (suspicion score), який відправляється на командно-контрольний сервер. Уже оператор приймає рішення, чи розгортати повну атаку на конкретному пристрої. Такий підхід допомагає знизити ймовірність викриття в середовищах аналізу шкідливого ПЗ та оптимізувати використання ресурсів ботнету.
Як захистити Android-пристрої від Perseus та подібних банківських троянів
Переспрямування крадіжки облікових даних із браузерів і банківських застосунків у площину нотаток демонструє, наскільки швидко кіберзлочинці адаптуються до користувацьких звичок. Щоб знизити ризики компрометації Android-пристрою, доцільно дотримуватися таких практик:
- Не встановлювати APK із неофіційних джерел, особливо піратські IPTV- та стримінгові застосунки, навіть якщо вони обіцяють «безкоштовний контент».
- Жорстко обмежувати доступ до Accessibility Services, надаючи його лише перевіреним і дійсно необхідним застосункам.
- Не зберігати паролі, seed-фрази та PIN-коди в звичайних нотатках; натомість використовувати спеціалізовані менеджери паролів із шифруванням.
- Підтримувати Android та встановлені програми в актуальному стані, регулярно встановлюючи оновлення безпеки.
- Використовувати рішення мобільного захисту від надійних вендорів і періодично перевіряти пристрій на наявність зловмисного ПЗ.
Perseus наочно демонструє, що будь-який фрагмент інформації на смартфоні — від банківського застосунку до простих нотаток — може стати мішенню для Android-банкерів. Чим більше конфіденційних даних зберігається на мобільному пристрої, тим привабливішим він є для операторів троянів. Користувачам і організаціям варто переглянути практики зберігання секретів, посилити цифрову гігієну та критично ставитися до кожного встановленого застосунку, особливо якщо він походить не з офіційного маркета й обіцяє безкоштовний доступ до платного контенту.
