¿Guardas datos sensibles en las notas? El nuevo troyano «Perseo» se aprovecha de ello
Desde Google Keep hasta Samsung Notes: un malware escudriña todas tus notas y seguro encontrará algo con lo que sacar provecho.
Un nuevo malware para Android llamado Perseus cambia el enfoque para robar datos: en lugar de interceptar mensajes y contraseñas del navegador, el software malicioso analiza las notas personales de los usuarios. Este método da acceso a la información más sensible, que los propietarios de dispositivos a menudo guardan manualmente.
Perseus se distribuye a través de tiendas de aplicaciones no oficiales haciéndose pasar por servicios IPTV. Los atacantes apuestan por la popularidad de las transmisiones deportivas pirata y por la costumbre de instalar archivos APK fuera de Google Play, ignorando las advertencias del sistema. Un esquema similar ya se había utilizado en ataques recientes con el malware bancario Massiv.
Los analistas de la empresa ThreatFabric descubrieron que el objetivo principal de la campaña son las organizaciones financieras y los servicios de criptomonedas. El foco se situó en Turquía e Italia, así como en Polonia, Alemania y Francia. Una de las aplicaciones difusoras fue la programa Roja Directa TV, vinculada a transmisiones deportivas ilegales.
La carga maliciosa se instala mediante un cargador especial que puede eludir las restricciones de Android 13 y versiones posteriores. El mismo mecanismo se usó antes para entregar otras familias de malware — Klopatra y Medusa. Perseus se basa en la base de código Phoenix, creada a partir del proyecto Cerberus filtrado.
Los desarrolladores prepararon dos versiones del malware — una turca y otra inglesa. La segunda parece más elaborada: contiene registro ampliado e incluso emojis en el código. Según los especialistas, esos detalles podrían indicar el uso de herramientas de inteligencia artificial durante el desarrollo.
Tras la instalación, Perseus solicita control total del dispositivo a través de los servicios de accesibilidad de Android. El malware hace capturas de pantalla, controla la interfaz, simula acciones del usuario, inicia aplicaciones y oculta su actividad mediante una pantalla negra. Además utiliza superposiciones de ventanas y la captura de pulsaciones de teclas.
La característica principal de Perseus es el análisis de aplicaciones de notas. El malware abre sucesivamente Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote y otros servicios, y después revisa el contenido de las anotaciones. Este enfoque permite encontrar contraseñas, frases semilla, datos financieros y apuntes personales que no se transmiten por la red y por eso rara vez están protegidos.
Antes de iniciar el ataque, la aplicación realiza una comprobación del dispositivo: analiza la presencia de acceso root, emulador, parámetros de la tarjeta SIM, el hardware y las aplicaciones instaladas. Con esos datos se elabora una evaluación de sospecha que se envía al servidor de control. El operador decide si continuar el ataque y extraer los datos.
Los especialistas recomiendan no instalar aplicaciones desde fuentes externas y usar únicamente la tienda oficial Google Play. Además, aconsejan mantener activa la función Play Protect y revisar el dispositivo periódicamente en busca de amenazas.