Храните чувствительные данные в заметках? Новый троян «Персей» этому только рад

Новая вредоносная программа для Android под названием Perseus меняет подход к краже данных: вместо привычного перехвата сообщений и паролей из браузера вредоносное ПО изучает личные заметки пользователей. Такой метод даёт доступ к наиболее чувствительной информации, которую владельцы устройств часто сохраняют вручную.

Perseus распространяется через неофициальные магазины приложений под видом IPTV-сервисов. Злоумышленники делают ставку на популярность пиратских трансляций спорта и привычку устанавливать APK-файлы в обход Google Play, игнорируя предупреждения системы. Похожая схема уже применялась в недавних атаках с банковским вредоносом Massiv.

Аналитики компании ThreatFabric обнаружили, что основная цель кампании — финансовые организации и криптосервисы. В фокусе оказались Турция и Италия, а также Польша, Германия и Франция. Одним из приложений-распространителей стала программа Roja Directa TV, связанная с нелегальными спортивными трансляциями.

Вредоносная нагрузка устанавливается через специальный загрузчик, который умеет обходить ограничения Android 13 и новее. Такой же механизм ранее использовали для доставки других семейств вредоносного ПО — Klopatra и Medusa. В основе Perseus лежит кодовая база Phoenix, созданная на базе утёкшего проекта Cerberus.

Разработчики подготовили две версии вредоносной программы — турецкую и английскую. Вторая выглядит более проработанной: содержит расширенное логирование и даже эмодзи в коде. По мнению специалистов, такие детали могут указывать на использование инструментов искусственного интеллекта при разработке.

После установки Perseus запрашивает полный контроль над устройством через службы специальных возможностей Android. Вредоносное ПО делает скриншоты, управляет интерфейсом, имитирует действия пользователя, запускает приложения и скрывает активность с помощью чёрного экрана. Дополнительно используются наложения окон и перехват нажатий клавиш.

Главная особенность Perseus — анализ приложений для заметок. Вредоносное ПО поочерёдно открывает Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote и другие сервисы, после чего просматривает содержимое записей. Такой подход позволяет находить пароли, сид-фразы, финансовые данные и личные записи, которые не передаются через сеть и поэтому редко защищаются.

Перед началом атаки программа проводит проверку устройства: анализирует наличие root-доступа, эмулятора, параметры SIM-карты, оборудование и установленные приложения. На основе этих данных формируется оценка подозрительности, которую отправляют на управляющий сервер. Оператор решает, стоит ли продолжать атаку и извлекать данные.

Специалисты советуют отказаться от установки приложений из сторонних источников и использовать только официальный магазин Google Play. Дополнительно рекомендуется держать активной функцию Play Protect и регулярно проверять устройство на наличие угроз.