Исследователи в области кибербезопасности обнаружили новый сложный банковский троянец для Android под названием "Perseus", что знаменует собой значительную эскалацию угроз для мобильных финансов. В отличие от типичного банковского вредоносного ПО, которое фокусируется исключительно на наложении поддельных экранов входа в банковские приложения, Perseus использует более коварный и многосторонний подход. Его основные функции включают кейлоггинг, запись экрана и возможность перехвата SMS-сообщений для обхода двухфакторной аутентификации (2FA). Однако его самая новая и тревожная особенность — это способность отслеживать и извлекать данные из популярных приложений для заметок. Вредоносная программа специально нацелена на такие приложения, как Google Keep, Samsung Notes и Evernote, сканируя их на наличие конфиденциальной информации, такой как пароли, номера кредитных карт и сид-фразы криптовалютных кошельков, которые пользователи могли сохранить для удобства. Эта техника позволяет Perseus собирать огромный массив учетных данных, выходящий далеко за рамки установленных банковских приложений, превращая простое вспомогательное приложение в критическую уязвимость.
Вектор заражения Perseus в основном включает фишинговые кампании и вредоносные ссылки, распространяемые через SMS или платформы обмена сообщениями, которые обманом заставляют пользователей загрузить замаскированный APK-файл. После установки вредоносное ПО использует сложные методы обфускации и защиты от анализа, чтобы избежать обнаружения программами безопасности. Оно запрашивает широкие разрешения, включая Службы специальных возможностей (Accessibility Services), что дает ему возможность отслеживать и взаимодействовать с экраном устройства и другими приложениями — распространенная, но мощная тактика для вредоносного ПО на Android. Используя этот доступ, Perseus может не только захватывать нажатия клавиш и содержимое экрана, но и автоматически выполнять вредоносные действия, такие как предоставление себе дополнительных разрешений или закрытие предупреждений системы безопасности без взаимодействия с пользователем. Такой уровень автоматизации делает его особенно опасным для обычных пользователей, которые могут не заметить тонких признаков компрометации.
Операционные последствия деятельности Perseus серьезны как для отдельных пользователей, так и для финансовых учреждений. Для физических лиц кража данных из приложений для заметок представляет собой глубокое нарушение управления личной безопасностью. Многие пользователи полагаются на эти приложения как на неформальные менеджеры паролей или безопасное хранилище финансовых данных, создавая единую точку отказа, которой Perseus умело пользуется. Для банков и финтех-компаний способность вредоносного ПО обходить 2FA через перехват SMS напрямую бросает вызов фундаментальному уровню безопасности учетных записей. Это требует перехода к более надежным методам аутентификации, таким как аппаратные ключи безопасности или приложения-аутентификаторы, которые не уязвимы для SIM-своппинга или перехвата SMS.
Чтобы снизить риски, создаваемые Perseus и подобными угрозами, пользователям рекомендуется применять строгие практики мобильной безопасности. К ним относятся установка приложений только из официальных магазинов приложений, таких как Google Play, тщательная проверка разрешений приложений — особенно запросов на доступ к Службам специальных возможностей — и отказ от перехода по ссылкам от неизвестных отправителей. Кроме того, пользователям следует воздерживаться от хранения высокочувствительной информации, такой как пароли или сид-фразы, в виде открытого текста в приложениях для заметок. Вместо этого рекомендуется использовать выделенный, надежный менеджер паролей с надежным шифрованием. Организации должны информировать своих клиентов об этих угрозах и продвигать использование продвинутых методов двухфакторной аутентификации. Обнаружение Perseus подчеркивает развивающуюся изобретательность киберпреступников и служит важным напоминанием о том, что в мобильной безопасности даже самые доверенные вспомогательные приложения могут стать векторами атаки для извлечения данных.
