Pesquisadores de segurança identificaram um novo malware para Android, batizado de Perseus. A ameaça é capaz de roubar credenciais bancárias, acessar anotações pessoais e até assumir o controle completo do dispositivo infectado.
Atualmente em circulação ativa, o vírus tem como principais alvos usuários da Turquia e da Itália, incluindo clientes de bancos, usuários comuns e até plataformas de criptomoedas.
Origem e evolução do malware
O Perseus não foi criado do zero. Ele é baseado em códigos de ameaças anteriores, como o Cerberus, cujo código-fonte vazou em 2020 e passou a ser reutilizado por cibercriminosos.
A partir dele surgiu o Phoenix, que serviu como base direta para o Perseus. A nova variante mantém a estrutura técnica dos antecessores, mas adiciona funcionalidades mais avançadas.
Durante a análise, especialistas encontraram duas versões do malware em circulação: uma com nomenclatura em inglês e outra em turco. A versão em inglês é mais completa e apresenta indícios incomuns, como emojis no código e registros excessivos, sugerindo possível uso de inteligência artificial no desenvolvimento.
Distribuição via aplicativos de IPTV
O Perseus é disseminado principalmente por meio de aplicativos falsos de IPTV, que prometem acesso gratuito a canais de TV por streaming. Esses apps são distribuídos fora da loja oficial do Android, o que facilita a infecção sem levantar suspeitas.
O malware utiliza um componente inicial, conhecido como dropper, para burlar as proteções do sistema. Esse mesmo método já foi observado em outras ameaças, como Medusa e Klopatra, indicando compartilhamento de ferramentas entre grupos criminosos.
Roubo de dados e espionagem avançada
Após a instalação, o Perseus inicia múltiplas ações maliciosas. Uma das principais é a exibição de telas falsas sobre aplicativos bancários legítimos. Essas interfaces imitam perfeitamente os apps originais, capturando tudo que o usuário digita, incluindo senhas e dados financeiros.
Outro recurso incomum é o monitoramento de aplicativos de notas. O malware abre automaticamente esses apps e coleta todas as informações armazenadas, como senhas, dados pessoais e até frases de recuperação de carteiras digitais.
Controle remoto do dispositivo
O vírus também explora o Serviço de Acessibilidade do Android para simular interações do usuário. Com isso, ele consegue navegar pelo sistema, acessar aplicativos e executar ações sem qualquer intervenção da vítima.
Além disso, o Perseus pode capturar a tela do dispositivo continuamente e enviar os dados em tempo real para os criminosos. Em alguns casos, os atacantes conseguem interagir diretamente com o aparelho, como se estivessem com ele em mãos, realizando transações e acessando contas.
Técnicas para evitar detecção
Para dificultar análises, o malware realiza diversas verificações antes de agir. Ele avalia se o dispositivo possui chip SIM válido, sensores ativos, aplicativos instalados e serviços do sistema funcionando corretamente.
Também busca por ferramentas de análise como Frida e Xposed, além de verificar se o aparelho possui acesso root. Com base nessas informações, gera uma pontuação de risco que é analisada pelos operadores do ataque.
Alvos e alcance das campanhas
As campanhas identificadas mostram foco geográfico bem definido. A Turquia lidera em número de alvos, seguida pela Itália. Outros países afetados incluem Polônia, Alemanha, França, Emirados Árabes Unidos e Portugal.
Além de instituições financeiras tradicionais, o Perseus também mira exchanges de criptomoedas, ampliando o impacto potencial das operações.
O uso de aplicativos IPTV como vetor de ataque reforça a estratégia dos criminosos, especialmente em regiões onde esse tipo de serviço é amplamente utilizado.
