Analistas de ThreatFabric han identificado Perseus, un nuevo troyano bancario para Android que da un paso más en el robo de información sensible: además de sus capacidades típicas para atacar apps financieras, el malware abre de forma dirigida las aplicaciones de notas del dispositivo y escanea su contenido en busca de contraseñas, seed phrases y datos financieros. Este cambio de enfoque supone un riesgo crítico para usuarios que guardan secretos en notas en lugar de utilizar gestores de contraseñas cifrados.
Distribución del malware Android Perseus: APK de IPTV pirata como señuelo
En la campaña observada, Perseus se propaga a través de tiendas no oficiales de aplicaciones Android, disfrazado de apps para ver IPTV pirata y retransmisiones deportivas gratuitas. Los atacantes se apoyan en dos patrones de riesgo muy extendidos: el sideloading de APK fuera de Google Play y la búsqueda de contenidos “gratuitos” que los usuarios asumen como de dudosa legalidad, pero instalan igualmente ignorando alertas de seguridad como Google Play Protect.
Uno de los dropper identificados se hace pasar por “Roja Directa TV”, un nombre reconocido por aficionados a las retransmisiones deportivas en línea. Este uso de marcas asociadas a streaming no oficial incrementa la tasa de infección, ya que muchos usuarios asumen que el mayor riesgo es legal, y no de ciberseguridad móvil.
Origen del troyano Perseus y evolución desde Cerberus y Phoenix
El análisis de código revela que Perseus se basa en la familia de malware Phoenix, que a su vez deriva del código filtrado del conocido troyano Cerberus. Este patrón es habitual en el ecosistema de malware Android: una vez que el código fuente de una amenaza se hace público, diferentes grupos criminales lo reutilizan, lo modifican y lo amplían con nuevas funciones, generando variantes cada vez más sofisticadas.
El dropper de Perseus es capaz de sortear las restricciones de instalación de apps desconocidas introducidas en Android 13+, diseñadas para frenar las amenazas distribuidas por sideloading. El mismo dropper se ha observado distribuyendo otros troyanos como Klopatra y Medusa, lo que apunta a una posible infraestructura compartida o a un intercambio de herramientas entre grupos de ciberdelincuentes.
Troyano bancario dirigido a Europa y aplicaciones de criptomonedas
La campaña de Perseus se centra en el sector financiero europeo. Según ThreatFabric, el malware apunta principalmente a entidades de Turquía (17 apps bancarias objetivo) e Italia (15 apps), además de bancos en Polonia, Alemania y Francia. Paralelamente, se han identificado nueve aplicaciones de criptomonedas en su lista de objetivos, reflejando el interés continuado de los atacantes por robar activos digitales y seed phrases de monederos.
Abuso de Accessibility Services y control remoto del dispositivo
Perseus se apoya intensivamente en las Android Accessibility Services, un mecanismo pensado para ayudar a personas con discapacidad que es frecuentemente abusado por troyanos bancarios. Cuando el usuario concede estos permisos, el malware puede:
- Simular acciones del usuario (toques, desplazamientos, escritura de texto).
- Leer el contenido que se muestra en pantalla.
- Interceptar y evadir mecanismos de autenticación multifactor en apps bancarias.
- Permitir el control remoto completo del dispositivo por parte del operador del malware.
Robo de datos desde aplicaciones de notas: un vector de ataque emergente
La característica más preocupante de Perseus es su automatización para trabajar con apps de notas. El troyano reconoce y abre servicios populares como Google Keep, Samsung Notes, Xiaomi Notes, ColorNote, Evernote, Microsoft OneNote y Simple Notes. A través de Accessibility Services, recorre las listas de notas y analiza el contenido de cada entrada en busca de información sensible.
De acuerdo con ThreatFabric, es la primera vez que se documenta de forma sistemática el escaneo de notas por parte de un troyano bancario Android. Muchos usuarios almacenan en estas apps contraseñas, seed phrases de carteras de criptomonedas, PIN de tarjetas o números de cuenta, asumiendo erróneamente que el riesgo es bajo al no tratarse de un gestor de contraseñas tradicional.
Dos variantes de Perseus y posibles indicios de uso de IA
Los investigadores han identificado dos compilaciones principales de Perseus: una en turco y otra en inglés. La versión en inglés presenta un desarrollo más avanzado, con registro de actividad (logging) ampliado y funciones auxiliares adicionales. El código incluye una cantidad inusual de mensajes de log con texto y emojis, lo que sugiere que podrían haberse empleado herramientas asistidas por inteligencia artificial durante su desarrollo y depuración, una tendencia cada vez más visible en la cibercriminalidad.
Mecanismos de sigilo: “suspicion score” y evasión de análisis
Antes de desplegar todas sus capacidades, Perseus realiza una comprobación exhaustiva del entorno: presencia de root, indicios de emulador, estado de la SIM, características de hardware, nivel de batería, disponibilidad de Bluetooth, número de apps instaladas y presencia de Google Play Services.
Con estos datos calcula un “suspicion score” o indicador de sospecha que envía al servidor de mando y control. Son los operadores quienes deciden entonces si continúan o no con el ataque en ese dispositivo concreto. Este modelo reduce la exposición del malware en entornos de análisis (sandboxes y emuladores de laboratorio) y optimiza los recursos de la campaña.
Cómo proteger Android frente a Perseus y otros troyanos bancarios
El caso de Perseus muestra que cualquier app cotidiana, incluidas las notas, puede convertirse en un punto de fuga de información crítica. Para mitigar el riesgo, es recomendable aplicar las siguientes medidas de ciberseguridad en Android:
- Evitar instalar APK desde fuentes externas, especialmente apps IPTV piratas o servicios de streaming no oficiales.
- Restringir al máximo los permisos de Accessibility Services, concediéndolos solo a aplicaciones de confianza y realmente necesarias.
- No guardar contraseñas, PIN ni seed phrases en notas sin cifrar; utilizar gestores de contraseñas con cifrado robusto y autenticación fuerte.
- Mantener Android y las apps actualizadas, aplicando parches de seguridad en cuanto estén disponibles.
- Complementar la protección nativa con soluciones de seguridad móvil de proveedores reconocidos y escaneos periódicos de malware.
El desplazamiento del robo de credenciales desde el navegador y las apps bancarias hacia las aplicaciones de notas refleja la capacidad de adaptación de los atacantes a los hábitos reales de los usuarios. Cuanta más información confidencial se concentra en un smartphone, más atractivo resulta para los operadores de troyanos móviles. Revisar cómo y dónde se almacenan los secretos digitales, adoptar buenas prácticas de higiene de seguridad y desconfiar de cualquier aplicación que prometa contenido “gratis” fuera de los canales oficiales son pasos clave para reducir de forma significativa la superficie de ataque.
