Derrière ces applis IPTV : un malware volait vos mots de passe
¿Qué es Perseus y cómo se propaga?
En los últimos informes de ThreatFabric, se ha descubierto un malware llamado Perseus, que se disfraza como aplicaciones IPTV. Estas aplicaciones, que suelen ser descargadas fuera del Play Store, presentan un vector de distribución particularmente efectivo. Los servicios IPTV generalmente requieren que los usuarios manualmente descarguen archivos APK, lo que facilita a los atacantes la implementación de este tipo de malware sin generar sospechas en sus víctimas.
Perseus utiliza un dropper que logra eludir las restricciones de sideloading impuestas por Android 13. Este método no solo es innovador, sino que ya se había observado en otras familias de malware, como Klopatra y Medusa, lo que indica una evolución en las técnicas utilizadas por los ciberdelincuentes.
Funcionalidades del malware Perseus
Una vez que Perseus se ha instalado en un dispositivo, se aprovecha de los servicios de accesibilidad para tomar control total del aparato. Entre sus capacidades destacan:
- Lanzar overlays (superposiciones) sobre otras aplicaciones.
- Grabar casi todo lo que aparece en la pantalla.
- Simular interacciones del usuario.
- Despertar el teléfono.
- Bloquear aplicaciones o cortar el sonido.
- Inyectar texto o controlar el dispositivo de forma remota en dos modos diferentes.
El primer modo permite una captura contínua de la pantalla que se envía a un servidor de comando. El segundo modo transmite una representación estructurada de la interfaz, lo que permite a un operador interactuar como si estuviera utilizando el teléfono de forma directa. Esto significa que los atacantes pueden realizar acciones fraudulentas con facilidad.
Objetivos de Perseus: un trojan bancario
Perseus es en esencia un trojan bancario que se dirige principalmente a aplicaciones de instituciones financieras de países como Turquía, Italia, Polonia, Alemania, Francia, Portugal y los Emiratos Árabes Unidos. También ha sido diseñado para atacar a nueve aplicaciones de criptomonedas, lo que lo hace especialmente peligroso para los usuarios que manejan activos digitales.
Métodos innovadores de robo de datos
Una de las características más preocupantes de Perseus es su capacidad para extraer datos sensibles. En su versión en inglés, incluye una comando llamada scan_notes que le permite identificar diversas aplicaciones de notas en el dispositivo afectado, tales como Google Keep, Samsung Notes, y Evernote, entre otras. Este módulo puede explorar el contenido de cada nota, robando información organizada que los usuarios han guardado para un acceso rápido.
Si este enfoque resulta eficiente, los investigadores sugieren que podría adaptarse rápidamente a otras versiones regionales del malware, lo que representaría una amenaza mayor para la privacidad de los usuarios en todo el mundo.
Prevención y recomendaciones
Para protegerse contra amenazas como Perseus, es crucial:
- Descargar solo aplicaciones de fuentes confiables: Evita las aplicaciones IPTV de fuentes desconocidas y siempre verifica la autenticidad de los archivos APK.
- Usar un software antivirus: Mantener un software de seguridad actualizado puede ayudar a detectar y eliminar el malware antes de que cause daño.
- Revisar los permisos de las aplicaciones: Asegúrate de que las aplicaciones instaladas no tengan permisos innecesarios que puedan facilitar la intrusión en tu privacidad.
En conclusión, la aparición de malware como Perseus subraya la importancia de la precaución en el mundo digital. Mantente informado y adopta prácticas seguras para proteger tu información personal y financiera.
About the Author
