Вирус Perseus маскируется под обычные приложения – новая угроза для россиян
Новый скрытый вирус-троян Perseus, маскирующийся под обычные приложения, угрожает россиянам, пользующимся гаджетами на Android. Вредоносная программа выходит за рамки привычных банковских троянов и ориентирована на активное считывание и анализ пользовательских заметок. Это делает ее особенно опасной в контексте кражи конфиденциальных данных, включая пароли, фразы восстановления криптокошельков, финансовую информацию и другие личные записи, сообщает ThreatFabric.
Perseus является эволюцией известных Android‑троянов, таких как Phoenix и Cerberus. Последние были одними из самых опасных банковских троянцев в истории мобильной безопасности. Cerberus впервые был зафиксирован еще в 2019 г. и использовался для кражи банковских учетных данных, в том числе обхода двухфакторной аутентификации через перехват SMS и приложений вроде Google Authenticator.
Россиянам грозит Perseus – возможности скрытого вируса
Perseus унаследовал от предшественников способ удаленного контроля с помощью служб специальных возможностей Android (Accessibility Services), позволяя злоумышленникам практически полностью управлять зараженным устройством, делать скриншоты, снимать клавиатурные вводы и накладывать поддельные интерфейсы поверх легитимных приложений.
Читайте по теме: первый Android-вирус с поддержкой ИИ: что известно о PromptSpy и чем он опасен
Отличительной особенностью Perseus стал «охотник за заметками» — функция ранее не встречалась в других известных Android‑троянах. Это означает, что злоумышленники способны не просто красть логины и пароли из банковских приложений или браузеров, но и системно просматривать содержимое приложений заметок, таких как Google Keep, Microsoft OneNote и Simple Notes. Вредоносная программа автоматически открывает такие приложения, последовательно перебирает заметки и фиксирует те, которые содержат потенциально ценную информацию для последующих атак или мошенничества.
Perseus маскируется под обычные приложения
Распространение Perseus происходит не через официальный магазин Google Play, а через неофициальные маркеты и сторонние APK‑файлы, замаскированные под IPTV‑приложения. Среди таких приманок исследователи упоминают бренд Roja Directa TV, известный в среде пиратских спортивных трансляций. Тактика обусловлена тем, что пользователи, привыкшие загружать альтернативные приложения из сторонних источников, реже обращают внимание на предупреждения безопасности Android и с большей вероятностью установят вредоносный софт.
Perseus использует расширенные возможности Accessibility Services для обхода ограничений платформы. Благодаря этим службам он может совершать действия, доступные обычному пользователю: запускать оверлеи над экранами других приложений, автоматически имитировать нажатия и свайпы, скрывать свою активность черным экраном и даже фиксировать нажатия клавиш. Это позволяет злоумышленникам не только считывать данные, но и полностью контролировать устройство, включая возможность авторизовать финансовые операции от имени владельца.
Исследователи также отмечают, что Perseus демонстрирует признаки использования современных технологий разработки, включая возможное применение инструментов искусственного интеллекта. В английской версии обнаружены обширные механизмы логирования и стилистические особенности, которые, по мнению специалистов, могли быть созданы с помощью генераторов кода или других ИИ‑инструментов.
Ранее на сайте «Пронедра» писали, что 500 тысяч аккаунтов VK захватило вирусное расширение для Chrome
