Família derivada de Cerberus e Phoenix usa serviços de acessibilidade, sobreposições falsas, transmissão remota de tela e coleta de notas para apoiar fraude financeira em dispositivos Android.
| Componente | Dispositivos Android infectados por dropper que entrega o malware bancário Perseus, com base técnica associada a Cerberus e Phoenix. |
| Vetor | Aplicativos falsos de IPTV distribuídos por sites de phishing para usuários que tentam instalar conteúdo fora da loja oficial. |
| Impacto | Tomada remota do dispositivo, ataques de sobreposição contra aplicativos financeiros e de criptomoedas, captura de digitação, coleta de conteúdo de aplicativos de notas e apoio à autorização de transações fraudulentas. |
| Prioridade | Bloquear instalação por fontes desconhecidas, revisar abuso de acessibilidade, detectar sobreposições suspeitas, investigar aplicativos de IPTV instalados fora da loja e conter dispositivos com sinais de sessão remota. |
| Artefatos | Comandos observados incluem scan_notes, start_vnc, start_hvnc, enable_accessibility_screenshot, disable_accessibility_screenshot e action_blackscreen. |
| Alvos | Campanhas relatadas com foco em Turquia e Itália, além de atividade voltada a Polônia, Alemanha, França, Emirados Árabes Unidos e Portugal. |
Perseus é uma família de malware bancário para Android observada em distribuição ativa com objetivo de tomada de dispositivo e fraude financeira. A ameaça segue a linhagem técnica de Cerberus e Phoenix, duas bases já conhecidas por abusar dos serviços de acessibilidade do Android para ampliar permissões, automatizar interação com a interface e viabilizar coleta de dados sensíveis. Em vez de depender apenas de roubo de credenciais por telas falsas, Perseus combina controle remoto, sobreposições, captura de digitação e inspeção de aplicativos de notas, o que aumenta o valor dos dados acessíveis durante a infecção.
A distribuição ocorre por meio de aplicativos dropper disfarçados de serviços de IPTV, direcionados a usuários que procuram instalar conteúdo premium por fora dos canais oficiais. Esse contexto reduz a suspeita inicial porque a vítima já espera instalar um aplicativo fora da loja, aceitar permissões incomuns ou seguir um fluxo menos controlado de instalação. Depois da execução, o malware procura transformar o acesso inicial em uma sessão controlável pelo operador, com capacidade de observar a tela, interagir com elementos da interface e ocultar atividades por meio de sobreposições.
Após ser implantado no dispositivo, Perseus se comporta como malware bancário Android tradicional em pontos centrais: solicita ou induz o uso de acessibilidade, lança ataques de sobreposição contra aplicativos financeiros e serviços de criptomoedas, captura entradas do usuário e apresenta interfaces falsas sobre aplicativos legítimos. A finalidade é interceptar credenciais e dados de autenticação no momento em que a vítima acredita estar interagindo com o aplicativo original. O uso da acessibilidade também permite ao operador executar ações na interface, observar estados do dispositivo e tentar autorizar operações financeiras sem depender exclusivamente de credenciais estáticas.
A família adiciona recursos voltados a sessões remotas. O comando start_vnc inicia transmissão visual quase em tempo real da tela da vítima, enquanto start_hvnc transmite uma representação estruturada da hierarquia de interface e permite interação programática com elementos visuais. Essa combinação torna a fraude mais adaptável, porque o operador pode reagir ao que aparece no aparelho, contornar fluxos de autenticação baseados em interface e conduzir etapas que exigem navegação dentro de aplicativos. O recurso action_blackscreen exibe uma tela preta para esconder atividade do usuário, reduzindo a chance de percepção durante ações sensíveis.
Um diferencial relevante é o comando scan_notes, usado para capturar conteúdo de aplicativos de anotações. A lista observada inclui Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes e Microsoft OneNote, embora o pacote informado para OneNote apareça incorreto como com.microsoft.onenote em vez de com.microsoft.office.onenote. A coleta de notas sugere busca por informações de alto valor frequentemente armazenadas de forma informal, como senhas, frases de recuperação, dados bancários, lembretes financeiros ou códigos anotados pelo próprio usuário.
A superfície principal são dispositivos Android nos quais o usuário aceita instalar aplicativos fora da loja oficial, especialmente supostos serviços de IPTV obtidos por páginas de phishing. O risco aumenta quando o dispositivo permite fontes desconhecidas, quando não há controle corporativo de instalação, quando permissões de acessibilidade são concedidas sem revisão e quando aplicativos financeiros convivem com anotações pessoais no mesmo aparelho. A campanha descrita tem foco forte em Turquia e Itália, mas também inclui Polônia, Alemanha, França, Emirados Árabes Unidos e Portugal.
Perseus executa verificações de ambiente antes de prosseguir. A ameaça procura sinais de depuradores e ferramentas de análise como Frida e Xposed, verifica a presença de cartão SIM, calcula a quantidade de aplicativos instalados, identifica valores incomuns de bateria e usa esses sinais para produzir uma pontuação de suspeita enviada ao painel de comando e controle. Esse comportamento permite que o operador decida se o ambiente parece um dispositivo real ou um laboratório de análise, reduzindo a exposição da infraestrutura e dos recursos completos do malware.
- Dispositivos Android com instalação lateral habilitada e aplicativos falsos de IPTV recém-instalados.
- Contas de bancos, carteiras de criptomoedas e serviços financeiros acessados no aparelho infectado.
- Aplicativos de notas que podem conter credenciais, frases de recuperação, lembretes financeiros ou dados pessoais sensíveis.
- Ambientes de análise com Frida, Xposed, depuradores, poucos aplicativos instalados ou valores artificiais de bateria, que podem acionar pontuação de suspeita.
A investigação defensiva deve começar pelo inventário de aplicativos instalados fora da loja oficial, principalmente nomes, ícones e pacotes associados a IPTV ou serviços de streaming não gerenciados. Em ambientes corporativos, eventos de instalação lateral, concessão de acessibilidade a aplicativos recém-instalados e permissões incomuns devem ser correlacionados com acessos a aplicativos bancários, carteiras de criptomoedas e aplicativos de notas. A combinação de acessibilidade recém-habilitada, overlays ativos e interação anormal com múltiplos aplicativos sensíveis é mais forte do que qualquer sinal isolado.
Na telemetria de endpoint móvel, procure sequências em que um aplicativo sem justificativa operacional acessa serviços de acessibilidade, captura tela via acessibilidade, enumera aplicativos instalados, observa aplicativos de notas e inicia atividade de rede persistente com infraestrutura externa. A presença de tela preta durante períodos de uso, mudanças de foco entre aplicativos financeiros e ausência de interação visível pelo usuário podem indicar condução remota. A análise de rede deve priorizar conexões iniciadas por aplicativos sideloaded, especialmente após abertura de bancos, carteiras ou notas.
- Concessão recente de serviço de acessibilidade para aplicativo de IPTV ou aplicativo instalado por fora da loja oficial.
- Sobreposições exibidas durante abertura de aplicativos financeiros, carteiras de criptomoedas ou telas de autenticação.
- Acesso automatizado ou repetido a Google Keep, Samsung Notes, Xiaomi Notes, Evernote, ColorNote, Simple Notes ou OneNote.
- Indícios de transmissão de tela, captura por acessibilidade, interação programática com hierarquia de interface e bloqueio visual por tela preta.
- Verificações de ambiente envolvendo Frida, Xposed, depuradores, presença de SIM, contagem de aplicativos e valores de bateria.
A resposta deve remover o aplicativo suspeito, revogar permissões de acessibilidade concedidas indevidamente e isolar o dispositivo de contas financeiras até que a integridade seja validada. Como Perseus é projetado para apoiar fraude em tempo real, a contenção não deve se limitar à exclusão do aplicativo: é necessário revisar sessões bancárias, dispositivos confiáveis, carteiras, métodos de autenticação, alterações recentes de credenciais e transações iniciadas durante a janela provável de infecção. Informações armazenadas em aplicativos de notas devem ser tratadas como potencialmente expostas quando o dispositivo apresentou sinais compatíveis com Perseus.
A mitigação preventiva depende de controle de instalação, educação contra phishing de IPTV e monitoramento de acessibilidade. Em dispositivos gerenciados, políticas de MDM devem bloquear instalação por fontes desconhecidas, restringir permissões de acessibilidade a aplicativos aprovados e alertar quando um app recém-instalado tenta controlar a interface. Em dispositivos pessoais, a prioridade é remover fontes de instalação não confiáveis, manter o Android e aplicativos atualizados, revisar permissões concedidas e migrar segredos anotados para gerenciadores de senha com proteção adequada.
- Bloquear ou auditar instalação lateral de aplicativos, especialmente falsos serviços de IPTV obtidos por páginas de phishing.
- Revogar acessibilidade de aplicativos sem função legítima e revisar overlays concedidos a apps recém-instalados.
- Remover o aplicativo suspeito, trocar credenciais acessadas no dispositivo e revisar contas financeiras e carteiras usadas durante a infecção.
- Tratar conteúdo sensível em aplicativos de notas como comprometido quando houver evidência de execução do comando
scan_notesou acesso anormal a esses apps. - Correlacionar telemetria de acessibilidade, instalação, rede e uso de aplicativos financeiros para detectar tomada remota e tentativa de fraude.
0 Comentários