كشف باحثون في الأمن السيبراني عن عائلة جديدة متطورة من البرمجيات الخبيثة لنظام أندرويد، أُطلق عليها اسم Perseus، والتي يتم توزيعها بنشاط لتنفيذ عمليات الاستيلاء على الجهاز (DTO) والاحتيال المالي. تمثل هذه البرمجية الخبيثة تطوراً ملحوظاً، حيث بُنيت على أساسات برمجيات حصان طروادة المصرفية سيئة السمعة Cerberus وPhoenix. لقد نضجت لتصبح "منصة أكثر مرونة وقدرة" لاختراق الأجهزة، تنتشر primarily عبر تطبيقات "المُسقِط" (dropper) المستضافة على مواقع التصيد. يعتمد مشغلو البرمجية الخبيثة على الجلسات البعيدة عبر خدمات إمكانية الوصول في أندرويد لمراقبة الجهاز المصاب والتفاعل معه في الوقت الفعلي، مما يتيح سيطرة كاملة. أظهرت حملاتها تركيزاً جغرافياً محدداً، تستهدف بشكل مكثف المستخدمين في تركيا وإيطاليا، مع ضحايا إضافيين في بولندا وألمانيا وفرنسا والإمارات العربية المتحدة والبرتغال.
تتميز برمجية Perseus بتوسيع قدرات سرقة البيانات لتتجاوز بيانات الاعتماد المصرفية التقليدية. بينما تحتفظ بوظيفتها الأساسية في سرقة تفاصيل تسجيل الدخول عبر هجمات الطبقات الزائفة (overlay)، فإن ميزة جديدة ومثيرة للقلق هي مراقبتها النشطة لتطبيقات الملاحظات الخاصة بالمستخدم. يشير هذا إلى تحول استراتيجي من قبل الجهات الفاعلة التهديدية لالتقاط معلومات شخصية أو مالية عالية القيمة قد يدونها المستخدمون بشكل عابر، مثل رموز PIN، أو إجابات الأسئلة الأمنية، أو عبارات محافظ العملات المشفرة. يشير تحليل بنية البرمجية الخبيثة وشفرة مصدرها إلى أنها سليل مباشر لبرمجية Phoenix الخبيثة، مع وجود أدلة تشير إلى الاستخدام المحتمل لنماذج اللغة الكبيرة (LLMs) من قبل مطوريها للمساعدة في البرمجة، كما يتضح من السجلات الواسعة داخل التطبيق والوجود غير المعتاد للرموز التعبيرية (الإيموجي) داخل الشفرة المصدرية.
تعتمد طريقة توزيع برمجية Perseus على الطلب الشعبي على محتوى البث غير المشروع. على غرار التهديدات الحديثة الأخرى مثل برمجية Massiv الخبيثة، تتخفى برمجية Perseus في صورة تطبيق IPTV (تلفزيون بروتوكول الإنترنت) شرعي. تستهدف المستخدمين الذين يسعون إلى تثبيت تطبيقات من خارج المتجر الرسمي للوصول إلى قنوات التلفزيون والأفلام المميزة دون اشتراكات. من خلال تضمين حمولتها الخبيثة داخل هذه الحزمة البرمجية المرغوبة والمتوقعة، يتجاوز التطبيق "المُسقِط" شك المستخدم الأولي. بمجرد التثبيت، تسيء البرمجية الخبيثة استخدام أذونات إمكانية الوصول لتثبيت حمولة حصان طروادة المصرفي الكاملة بخفاء، مما يمنح المهاجمين تحكماً عن بُعد في الجهاز.
يعود نسب برمجية Perseus إلى حصان طروادة المصرفي Cerberus، الذي تم توثيقه لأول مرة في عام 2019 لإساءته استخدام خدمة إمكانية الوصول في أندرويد لاختطاف الأجهزة وسرقة البيانات. بعد تسريب الشفرة المصدرية لـ Cerberus علناً في عام 2020، ظهرت مجموعة متزايدة من المتغيرات، بما في ذلك Alien وERMAC وPhoenix. تعد برمجية Perseus هي التكرار الأحدث والأكثر تطوراً في هذه العائلة، مما يوضح كيف يواصل مجرمو الإنترنت تحسين وتهجين الشفرات الخبيثة. يؤكد ظهورها التهديد المستمر لبرمجيات أندرويد الخبيثة المصرفية والحاجة إلى أن يمارس المستخدمون الحذر الشديد، بتجنب التنزيلات من المصادر غير الرسمية وفحص أذونات التطبيقات بعناية، خاصة تلك التي تطلب صلاحيات إمكانية الوصول.
