Android-троян Perseus грозит заполучить все ваши сведения
Эксперты по кибербезопасности выявили новый вредоносный Android-троян, получивший название Perseus. Его отличительной чертой является способность не только атаковать банковские приложения и браузеры, но и активно сканировать содержимое заметок пользователя на предмет конфиденциальной информации, такой как пароли, сиды криптовалютных кошельков, финансовые сведения и прочие личные записи. Такие данные были представлены в недавнем отчете аналитической компании ThreatFabric.…

Эксперты по кибербезопасности выявили новый вредоносный Android-троян, получивший название Perseus. Его отличительной чертой является способность не только атаковать банковские приложения и браузеры, но и активно сканировать содержимое заметок пользователя на предмет конфиденциальной информации, такой как пароли, сиды криптовалютных кошельков, финансовые сведения и прочие личные записи. Такие данные были представлены в недавнем отчете аналитической компании ThreatFabric.
Распространение Perseus осуществляется не через официальный магазин Google Play, а посредством сторонних площадок и загружаемых APK-файлов. Вредоносное ПО маскируется под легитимные IPTV-приложения, например, под популярный сервис пиратских спортивных трансляций Roja Directa TV. Такой подход рассчитан на пользователей, которые уже привыкли устанавливать приложения из непроверенных источников и игнорировать системные предупреждения Android, что делает их более уязвимыми.
Используя специфические функции ОС Android (Accessibility Services), Perseus получает возможность дистанционно управлять устройством: делать снимки экрана, накладывать поверх других приложений фальшивые окна, имитировать нажатия пользователя, активировать черный экран для скрытия своей активности и записывать вводимые с клавиатуры данные. По сути, это дает злоумышленникам значительный контроль над действиями на экране устройства.
Наиболее примечательной функцией Perseus является его нацеленность на содержимое заметок, что, по мнению исследователей, является первым случаем столь системного подхода Android-трояна к анализу таких данных. Вредоносное ПО нацелено на популярные приложения для ведения заметок, включая Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote и Simple Notes. Англоязычная версия трояна последовательно открывает эти приложения и сканирует каждую заметку в поисках ценной информации.
ThreatFabric особо подчеркивает, что такая функциональность свидетельствует о расширении интересов злоумышленников к «контекстным» пользовательским данным. В отличие от других троянов, ориентированных на кражу логинов или SMS, Perseus нацелен на извлечение более ценной информации, такой как сохраненные пароли, сид-фразы для доступа к криптоактивам или иные чувствительные данные, которые пользователи часто по привычке хранят в своих записных книжках.
Технически Perseus также демонстрирует высокий уровень исполнения. Отмечается его связь с известной экосистемой Android-банкеров, вероятно, на базе Phoenix, который, в свою очередь, вырос из исходного кода Cerberus. Существуют две версии трояна: турецкая и более отлаженная английская. Последняя отличается подробным логированием и стилистическими особенностями кода, что может указывать на применение инструментов искусственного интеллекта в процессе разработки.