Исследователи из ThreatFabric обнаружили новый Android-троян под названием Perseus, обладающий необычной функцией.
Зловред не ограничивается кражей данных из банковских приложений или браузеров.
Его главная цель — заметки на смартфоне, где пользователи часто хранят пароли, сид-фразы от криптокошельков, финансовые реквизиты и другую конфиденциальную информацию.
Распространяется Perseus не через официальный магазин Google Play, а через неофициальные источники и APK-файлы.
Злоумышленники маскируют вредоносное программное обеспечение под приложения для IPTV.
В числе приманок используется бренд Roja Directa TV, хорошо известный в среде пиратских спортивных трансляций.
Расчет злоумышленников строится на том, что пользователь, привыкший устанавливать APK-файлы со сторонних ресурсов и игнорировать предупреждения системы безопасности, с меньшей вероятностью заподозрит неладное.
После установки Perseus использует специальные возможности операционной системы Android для получения практически полного контроля над устройством.
Троян способен удаленно управлять смартфоном, делать скриншоты, запускать оверлеи поверх других приложений и имитировать нажатия и свайпы.
Зловред также может включать черный экран для скрытия своей активности и вести запись нажатий клавиш.
Самая необычная особенность Perseus заключается в систематической охоте за содержимым приложений для заметок.
В список программ, которые проверяет троян, вошли Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote и Simple Notes.
Англоязычная версия зловреда по очереди открывает эти приложения и просматривает отдельные заметки в поисках ценной для атакующих информации.
В ThreatFabric подчеркивают, что такая функциональность свидетельствует о расширении интереса киберпреступников к контекстным пользовательским данным.
Если большинство Android-троянов охотятся преимущественно за логинами и SMS, то Perseus нацелен на более ценную информацию, которую люди часто по привычке держат именно в заметках.
Технически зловред выглядит как профессионально разработанный инструмент.
По данным исследователей, Perseus связан с известной экосистемой Android-банкеров и, вероятно, развивается на базе Phoenix, который, в свою очередь, вырос из утекшего несколько лет назад исходного кода Cerberus.
У трояна существует две версии — турецкая и более проработанная английская.
В англоязычной версии исследователи обнаружили настолько подробное логирование и характерные стилистические следы в коде, что это может указывать на использование инструментов искусственного интеллекта при разработке.
Автор: Сергей Богдан
