Um novo malware para Android chamado Perseus está vasculhando notas pessoais armazenadas no celular para roubar informações sensíveis, como senhas, frases de recuperação e dados financeiros.
Distribuído em lojas alternativas não oficiais e disfarçado como apps de IPTV, o Perseus permite o controle total do dispositivo, captura contínua de telas e ataques de overlay (sobreposição).
Esses apps de IPTV são usados por quem busca transmissões piratas ao vivo, especialmente esportivas, e muitos usuários já estão habituados a instalar APKs fora da Google Play, ignorando avisos de segurança.
Essa prática vem crescendo nos últimos oito meses, acompanhando a demanda por acesso gratuito ou barato a eventos esportivos.
Numa campanha recente, por exemplo, criminosos exploraram o apelo dos apps de IPTV para distribuir o malware bancário Massiv.
O Perseus tem como alvos principais instituições financeiras na Turquia e na Itália, além de serviços relacionados a criptomoedas.
Um dos apps que carregam o malware é o Roja Directa TV, bastante popular para streaming esportivo e alvo frequente de ações contra violação de direitos autorais.
O dropper (instalador) do Perseus consegue contornar restrições de sideloading do Android 13 ou superior, sendo o mesmo usado para disseminar outros malwares, como Klopatra e Medusa.
Pesquisadores revelam que o Perseus é baseado no código Phoenix, que deriva do Cerberus, cujas linhas foram vazadas há quase seis anos.
O malware existe em duas versões: uma mais simples em turco e outra mais avançada em inglês, com melhorias no código e ferramentas de depuração.
A variante em inglês contém registros extensivos e até emojis no código — um forte indicativo do uso de inteligência artificial na criação da ameaça.
O foco na Turquia fica evidente na lista de alvos financeiros locais (17 instituições), seguidos pela Itália (15), Polônia (5), Alemanha (3) e França (2).
Além disso, nove apps de criptomoedas também estão na mira.
Ao explorar o recurso Android Accessibility Services, o Perseus dá controle remoto absoluto ao operador do dispositivo infectado, permitindo:
- Captura contínua de telas enviadas em tempo real
- Envio da hierarquia da interface para interação remota programada
- Simulação de toques, swipes, inserção de texto e navegação pela UI
- Acender a tela, abrir e bloquear aplicativos
- Ativar uma sobreposição preta para ocultar ações do usuário
- Executar ataques de overlay e keylogging
Um diferencial incomum do Perseus é o foco em apps de anotações, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote e Simple Notes.
Esta é a primeira vez que um malware para Android pesquisa dados sensíveis diretamente em notas pessoais.
“Enquanto muitos malwares focam em roubar credenciais ou interceptar comunicações, esse recurso revela um interesse maior por dados contextualizados e personalizados”, destaca o relatório.
“Notas frequentemente armazenam senhas, frases de recuperação, informações financeiras ou pensamentos privados, tornando-se alvos valiosos para os atacantes.”
A versão em inglês usa Serviços de Acessibilidade para abrir sistematicamente esses apps de anotações, lendo cada nota individualmente.
Antes de agir, o Perseus realiza extensas verificações para evitar análise e detecção.
Ele verifica se o dispositivo está com root, se é um emulador, detalhes do SIM, perfil de hardware, dados da bateria, presença de Bluetooth, número de apps instalados e disponibilidade dos serviços Google Play.
Com base nessas informações, calcula uma “pontuação de suspeita” que é enviada ao painel de comando e controle (C2).
O operador decide, com base nessa pontuação, se vale a pena prosseguir com o roubo de dados.
Para se proteger, usuários Android devem evitar instalar APKs de fontes desconhecidas e usar apenas apps oficiais para streaming disponíveis na Google Play.
Também é fundamental manter o Play Protect ativado e realizar escaneamentos regulares em busca de ameaças conhecidas.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...