Новое исследование компании мобильной безопасности ThreatFabric выявило сложный штамм вредоносного ПО для Android под названием «Perseus», который активно атакует пользователей, сканируя их личные заметки и записи в поисках ценных секретов. Вредоносная программа предназначена для кражи конфиденциальной информации, такой как пароли, сид-фразы для восстановления криптовалют и финансовые данные. Perseus распространяется в основном через неофициальные магазины приложений, маскируясь под нелегальные приложения IPTV (интернет-телевидения), которые обещают доступ к пиратским трансляциям спортивных и развлекательных мероприятий. Этот метод распространения использует готовность пользователей к установке приложений из-за пределов официального магазина Google Play, часто в обход предупреждений системы безопасности.
Вредонос предоставляет злоумышленникам полный контроль над зараженными устройствами. Возможности включают полный захват устройства, возможность захвата скриншотов и выполнение оверлейных атак — техники, при которой поддельные экраны входа накладываются поверх легитимных банковских или криптовалютных приложений для сбора учетных данных. ThreatFabric отмечает, что Perseus, по-видимому, построен на основе кодовой базы «Phoenix», другого известного семейства вредоносных программ, а его дроппер (загрузчик) совпадает с тем, который используется для доставки других известных угроз, таких как Klopatra и Medusa. Примечательно, что этот дроппер может обходить усиленные ограничения на установку из неизвестных источников, введенные в Android 13 и более поздних версиях.
Эта кампания является частью тревожной тенденции, наблюдаемой в течение последних восьми месяцев, когда злоумышленники все чаще используют приманку в виде бесплатных или дешевых услуг IPTV для распространения вредоносного ПО. В недавней параллельной кампании аналогичная тактика использовалась для распространения банковского трояна «Massiv» для Android. В настоящее время Perseus сосредотачивает свои операции по краже данных на пользователях в Турции и Италии, нацеливаясь на финансовые учреждения и криптовалютные сервисы в этих регионах. Одно из конкретных приложений, содержащих вредоносную программу, выдает себя за «Roja Directa TV», известный сервис спортивных трансляций, который часто подвергался действиям за нарушение авторских прав и закрытию.
Появление Perseus подчеркивает сохраняющиеся риски, связанные с установкой приложений из непроверенных источников. Хотя официальные магазины приложений не защищены от вредоносного ПО, они обеспечивают значительную проверку безопасности, которой часто не хватает сторонним магазинам. Для пользователей Android лучшей защитой является установка приложений исключительно из Google Play Store, обеспечение включенной функции Google Play Protect и сохранение здорового скептицизма в отношении приложений, предлагающих платный контент бесплатно. Организациям следует обучать сотрудников этим рискам, особенно по мере того, как мобильные устройства все больше интегрируются в корпоративные рабочие процессы и обрабатывают конфиденциальные бизнес-данные.
