Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Malware bancario Perseo

Malware bancario Perseo

Por Mezo en Malware móvil, Troyano bancario
Traducir a:

Analistas de ciberseguridad han identificado una nueva familia de malware para Android, conocida como Perseus, que se encuentra desplegada activamente para permitir el control de dispositivos (DTO) y ejecutar fraudes financieros. Esta amenaza representa una evolución significativa en el malware móvil, ya que combina técnicas ya establecidas con una mayor flexibilidad operativa.

Evolución a partir de linajes de malware probados

Perseus se basa en los malware Cerberus y Phoenix para Android, ambos troyanos bancarios para Android muy conocidos. Documentado por primera vez en agosto de 2019, Cerberus abusaba de los servicios de accesibilidad de Android para escalar privilegios, robar datos confidenciales y realizar ataques de superposición para el robo de credenciales. Tras la filtración de su código fuente en 2020, surgieron múltiples derivados, como Alien, ERMAC y Phoenix.

Perseus amplía el código base de Phoenix, evolucionando hacia una plataforma más adaptable y potente. Indicadores como el registro exhaustivo de actividad en la aplicación y artefactos de código inusuales sugieren que los ciberdelincuentes podrían haber utilizado modelos de lenguaje complejos (LLM) durante el desarrollo.

Vector de infección: Ingeniería social mediante aplicaciones de IPTV

La estrategia de distribución se basa en gran medida en la ingeniería social. Perseus se distribuye mediante aplicaciones de descarga alojadas en sitios web de phishing, a menudo disfrazadas de servicios de IPTV. Este enfoque es similar a las campañas asociadas con el malware Massiv para Android, que se dirigen a usuarios que buscan acceso no autorizado a contenido de streaming premium.

Al insertar código malicioso en aplicaciones de IPTV aparentemente legítimas, los atacantes reducen la sospecha de los usuarios y aumentan significativamente las tasas de éxito de la infección. La campaña se ha dirigido principalmente a usuarios de diversas regiones, como Turquía, Italia, Polonia, Alemania, Francia, los Emiratos Árabes Unidos y Portugal.

Cadena de despliegue de malware y artefactos conocidos

Se han identificado varias aplicaciones como parte del ecosistema de distribución de Perseus:

  • Roja App Directa (com.xcvuc.ocnsxn) – Aplicación con cuentagotas
  • TvTApp (com.tvtapps.live) – Carga útil principal de Perseo
  • PolBox Tv (com.streamview.players) – Variante de carga útil secundaria

Estas aplicaciones sirven como puntos de entrada para instalar el malware en los dispositivos comprometidos.

Capacidades avanzadas de toma de control de dispositivos

Perseus aprovecha los servicios de accesibilidad de Android para establecer sesiones remotas, lo que permite la monitorización en tiempo real y una interacción precisa con los dispositivos infectados. Esta funcionalidad permite el control total del dispositivo, otorgando a los atacantes un control exhaustivo sobre la actividad del usuario.

A diferencia de los troyanos bancarios tradicionales, Perseus va más allá de la simple obtención de credenciales, ya que monitoriza activamente las aplicaciones para tomar notas. Este comportamiento indica un enfoque deliberado en la extracción de información personal y financiera de alto valor que podría no estar almacenada en los campos de credenciales convencionales.

Técnicas de ataque principales: superposición e interceptación de entrada.

Una vez activo, Perseus emplea técnicas de malware bancario para Android ya conocidas. Lanza ataques de superposición para mostrar interfaces fraudulentas sobre aplicaciones bancarias y de criptomonedas legítimas, capturando las credenciales del usuario en tiempo real. Además, utiliza el registro de pulsaciones de teclas para interceptar datos confidenciales mientras se introducen.

Operaciones de mando y control: Marco de manipulación remota

El malware se controla mediante una infraestructura de comando y control (C2), que permite a los operadores emitir comandos, manipular el comportamiento de los dispositivos y autorizar transacciones fraudulentas. Los comandos clave compatibles incluyen:

  • Extracción y vigilancia de datos (por ejemplo, captura de notas de aplicaciones como Google Keep, Evernote y Microsoft OneNote).
  • Gestión remota de sesiones a través de VNC y HVNC para interacción con la interfaz de usuario en tiempo real o estructurada.
  • Captura de pantalla mediante servicios de accesibilidad
  • Control de aplicaciones, incluyendo el lanzamiento de aplicaciones o la eliminación de restricciones.
  • Tácticas de engaño al usuario, como superposiciones de pantalla negra y silenciamiento de audio.
  • Instalación forzada desde fuentes desconocidas e interacciones de usuario simuladas.

Este completo conjunto de comandos permite a los atacantes mantener un control persistente y encubierto sobre los dispositivos comprometidos.

Tácticas de evasión y conocimiento del entorno

Perseus incorpora técnicas avanzadas anti-análisis para evadir la detección. Realiza comprobaciones exhaustivas del entorno, incluyendo la identificación de herramientas de depuración, la verificación de la presencia de la tarjeta SIM, el análisis del número de aplicaciones instaladas y la validación de las métricas de la batería para confirmar su ejecución en un dispositivo real.

El malware recopila estos datos para generar una "puntuación de sospecha", que se transmite al servidor C2. En función de esta puntuación, los operadores deciden si continuar con la explotación o permanecer inactivos para evitar ser detectados.

Implicaciones estratégicas: Eficiencia a través de la evolución

Perseus ejemplifica la constante evolución del malware para Android, donde las nuevas amenazas se basan cada vez más en marcos de trabajo existentes en lugar de desarrollarse desde cero. Al combinar las capacidades heredadas de Cerberus y Phoenix con mejoras específicas, como la monitorización de notas y un control remoto optimizado, Perseus logra un equilibrio entre eficiencia e innovación.

Este enfoque refleja una tendencia más amplia en la ciberdelincuencia: la priorización de la adaptabilidad, la escalabilidad y la extracción de datos de alto valor, lo que hace que las campañas de malware modernas sean más efectivas y más difíciles de detectar.

Tendencias

Su cuenta será deshabilitada. Estafa por correo...

Suplantación de identidad (phishing), Correo basura
Mantenerse alerta ante correos electrónicos inesperados es fundamental para proteger la información personal y las cuentas en línea. Los ciberdelincuentes suelen camuflar los mensajes de phishing como notificaciones urgentes para presionar a los destinatarios a actuar rápidamente sin verificar su autenticidad. La estafa por correo electrónico "Su cuenta será deshabilitada" es un ejemplo. El...

Ledger - Estafa por correo electrónico: Actividad...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que alegan problemas de seguridad urgentes deben tratarse siempre con precaución. Los ciberdelincuentes suelen suplantar la identidad de marcas conocidas para generar pánico y presionar a los destinatarios para que actúen con rapidez. El correo electrónico "Ledger - Actividad sospechosa en DEX detectada" es un ejemplo. A pesar de parecer provenir de Ledger,...

Mas Visto

Cargando...