Investigadores de ciberseguridad han revelado una nueva familia de malware para Android llamada Perseus que se está distribuyendo activamente con el objetivo de tomar el control de dispositivos (DTO, por sus siglas en inglés) y cometer fraude financiero.
Perseus se basa en los cimientos de Cerberus y Phoenix, evolucionando al mismo tiempo hacia una "plataforma más flexible y capaz" para comprometer dispositivos Android mediante aplicaciones de descarga distribuidas a través de sitios de phishing.
Según ThreatFabric , en un informe compartido con The Hacker News, "a través de sesiones remotas basadas en la accesibilidad, el malware permite la monitorización en tiempo real y la interacción precisa con los dispositivos infectados, lo que posibilita el control total del dispositivo y afecta a diversas regiones, con especial atención a Turquía e Italia".
"Más allá del robo de credenciales tradicional, Perseus monitoriza las notas de los usuarios, lo que indica que se centra en extraer información personal o financiera de alto valor."
Cerberus fue documentado por primera vez por la empresa holandesa de seguridad móvil en agosto de 2019, destacando cómo el malware abusaba del servicio de accesibilidad de Android para obtener permisos adicionales y robar datos confidenciales y credenciales mediante la creación de pantallas superpuestas falsas. Tras la filtración de su código fuente en 2020, han surgido múltiples variantes , entre ellas Alien, ERMAC y Phoenix .
Algunos de los artefactos distribuidos por Perseo se enumeran a continuación:
- Roja App Directa (com.xcvuc.ocnsxn) - Cuentagotas
- TvTApp (com.tvtapps.live) - Carga útil de Perseo
- PolBox TV (com.streamview.players) - Carga útil de Perseo
El análisis de ThreatFabric ha revelado que el malware se basa en el código fuente de Phoenix, y que los atacantes probablemente recurren a un modelo de lenguaje extenso (LLM) para su desarrollo. Esto se deduce de indicadores como el registro exhaustivo de actividad en la aplicación y la presencia de emojis en el código fuente.
Al igual que el malware Massiv para Android, descubierto recientemente , Perseus se hace pasar por servicios de IPTV para atacar a usuarios que buscan instalar este tipo de aplicaciones en sus dispositivos para ver contenido premium. Las campañas que distribuyen este malware se han dirigido principalmente a Turquía, Italia, Polonia, Alemania, Francia, los Emiratos Árabes Unidos y Portugal.
"Al integrar su carga útil en este contexto esperado, el malware Perseus reduce eficazmente la sospecha del usuario y aumenta las tasas de éxito de la infección, combinando la actividad maliciosa con un modelo de distribución comúnmente aceptado para este tipo de servicios", afirmó ThreatFabric.
Una vez desplegado, Perseus funciona de la misma manera que otros programas maliciosos bancarios para Android: lanza ataques de superposición y captura las pulsaciones del teclado para interceptar la información del usuario en tiempo real y mostrar interfaces falsas sobre aplicaciones financieras y servicios de criptomonedas para robar credenciales.
El malware también permite al operador emitir comandos de forma remota a través de un panel de comando y control (C2), y realizar y autorizar transacciones fraudulentas. Algunos de los comandos compatibles son los siguientes:
- scan_notes , para capturar el contenido de varias aplicaciones para tomar notas, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes y Microsoft OneNote (especifica el nombre de paquete incorrecto "com.microsoft.onenote" en lugar de "com.microsoft.office.onenote").
- start_vnc , para iniciar una transmisión visual casi en tiempo real de la pantalla de la víctima.
- stop_vnc , para detener la sesión remota.
- start_hvnc , para transmitir una representación estructurada de la jerarquía de la interfaz de usuario y permitir que el actor de la amenaza interactúe con los elementos de la interfaz de usuario mediante programación.
- stop_hvnc , para detener la sesión remota.
- enable_accessibility_screenshot , para habilitar la captura de pantalla mediante el servicio de accesibilidad.
- disable_accessibility_screenshot , para deshabilitar la toma de capturas de pantalla mediante el servicio de accesibilidad.
- unblock_app , para eliminar una aplicación de la lista de bloqueo.
- clear_blocked , para borrar toda la lista de aplicaciones bloqueadas.
- action_blackscreen , para mostrar una superposición de pantalla negra que oculte la actividad del dispositivo al usuario.
- nighty , para silenciar el audio.
- click_coord , para realizar un toque en coordenadas específicas de la pantalla.
- install_from_unknown , para forzar la instalación desde fuentes desconocidas.
- start_app , para iniciar una aplicación específica.
Perseus realiza una amplia gama de comprobaciones del entorno para detectar la presencia de depuradores y herramientas de análisis como Frida y Xposed, así como verificar si se ha insertado una tarjeta SIM, determinar el número de aplicaciones instaladas y si es inusualmente bajo, y validar los valores de la batería para asegurarse de que se está ejecutando en un dispositivo real.
El malware combina toda esta información para elaborar una puntuación de sospecha general que se envía al panel C2 para decidir el siguiente curso de acción y si el operador debe proceder con el robo de datos.
"Perseus pone de manifiesto la continua evolución del malware para Android, demostrando cómo las amenazas modernas se basan en familias ya establecidas como Cerberus y Phoenix, al tiempo que introducen mejoras específicas en lugar de paradigmas completamente nuevos", afirmó ThreatFabric.
Sus capacidades, que abarcan desde el control remoto basado en la accesibilidad y los ataques de superposición hasta la monitorización de notas, demuestran un claro enfoque en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Este equilibrio entre la funcionalidad heredada y la innovación selectiva refleja una tendencia más amplia hacia la eficiencia y la adaptabilidad en el desarrollo de malware.
Fuente: The Hacker News
No olvides Compartir...
Síguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios