Wprowadzenie do problemu / definicja
Perseus to nowo ujawniona rodzina złośliwego systemu dla systemu Android, zaprojektowana do przejmowania kontroli nad urządzeniem i prowadzenia oszustw finansowych. Zagrożenie zalicza się do kategorii mobilnych trojanów bankowych, jednak jego możliwości wykraczają poza klasyczną kradzież danych logowania.
Malware wykorzystuje mechanizmy dostępności systemu, funkcje zdalnej interakcji z interfejsem oraz techniki nakładek ekranowych. Dodatkowo monitoruje aplikacje do notatek w poszukiwaniu informacji o wysokiej wartości, takich jak hasła, dane finansowe czy frazy odzyskiwania.
W skrócie
- Perseus jest dystrybuowany głównie poprzez złośliwe aplikacje podszywające się pod usługi IPTV.
- Infekcja najczęściej następuje poza oficjalnymi sklepami, za pośrednictwem stron phishingowych i sideloadingu APK.
- Zagrożenie potrafi uruchamiać ataki overlay, przechwytywać dane wpisywane przez użytkownika i zdalnie sterować urządzeniem.
- Jedną z jego najbardziej charakterystycznych funkcji jest skanowanie aplikacji notatek w poszukiwaniu wrażliwych danych.
- Kampanie obserwowano między innymi w Turcji, we Włoszech oraz innych krajach europejskich, w tym w Polsce.
Kontekst / historia
Perseus wpisuje się w ewolucję mobilnych trojanów bankowych rozwijanych na bazie wcześniejszych rodzin malware, przede wszystkim Cerberusa i Phoenixa. To istotne, ponieważ Cerberus spopularyzował szerokie nadużywanie usług dostępności Androida do eskalacji uprawnień, oszustw ekranowych i zdalnej kontroli urządzeń.
Po wycieku kodu źródłowego Cerberusa w 2020 roku ekosystem zagrożeń dla Androida uległ dalszej fragmentacji. Kolejne warianty zaczęły rozwijać sprawdzone funkcje i dostosowywać je do nowych kampanii. Perseus jest przykładem takiej adaptacji: bazuje na znanych technikach, ale rozszerza je o bardziej ukierunkowane scenariusze kradzieży danych i większą elastyczność operacyjną.
Ważnym elementem kampanii pozostaje sposób dostarczania. Operatorzy wykorzystują aplikacje typu dropper oraz fałszywe usługi rozrywkowe, aby skłonić ofiary do instalowania pakietów APK z nieautoryzowanych źródeł. Taki model przez cały czas okazuje się skuteczny, ponieważ opiera się na socjotechnice i obietnicy darmowego dostępu do treści premium.
Analiza techniczna
Technicznie Perseus łączy kilka dojrzałych technik znanych z mobilnego malware bankowego. Podstawą działania jest nadużycie usług dostępności Androida. Po uzyskaniu odpowiednich uprawnień szkodliwe oprogramowanie może obserwować zdarzenia interfejsu, odczytywać elementy ekranu, wykonywać kliknięcia, uruchamiać aplikacje i wspierać zdalne działania operatora.
Kolejny komponent to ataki overlay i keylogging. Perseus potrafi wyświetlać fałszywe formularze nad legalnymi aplikacjami bankowymi i usługami kryptowalutowymi, a także przechwytywać dane wprowadzane przez użytkownika. W praktyce umożliwia to kradzież loginów, haseł, kodów uwierzytelniających i innych informacji potrzebnych do przejęcia konta.
Istotną rolę odgrywa również zdalna kontrola urządzenia. Malware komunikuje się z infrastrukturą C2 i obsługuje zestaw poleceń pozwalających uruchamiać aplikacje, wykonywać kliknięcia w określonych miejscach ekranu, wyciszać dźwięk, zasłaniać interfejs czarną nakładką oraz prowadzić zdalne sesje podglądu. Funkcje zbliżone do VNC i HVNC umożliwiają operatorowi zarówno obserwację ekranu, jak i bezpośrednią interakcję z interfejsem ofiary.
Najbardziej charakterystyczną cechą Perseusa jest funkcja skanowania aplikacji notatek. Złośliwe oprogramowanie zostało wyposażone w możliwość odczytu treści z popularnych narzędzi do tworzenia notatek. To oznacza przesunięcie akcentu z samego przechwytywania danych logowania na pozyskiwanie szerszego zestawu sekretów przechowywanych lokalnie przez użytkownika. W notatkach często znajdują się numery kont, dane kart, hasła zapisane tymczasowo, identyfikatory, odpowiedzi bezpieczeństwa, a choćby frazy seed do portfeli kryptowalutowych.
Perseus zawiera też mechanizmy antyanalityczne. Sprawdza obecność debuggerów i narzędzi używanych do analizy, ocenia środowisko uruchomieniowe, weryfikuje obecność karty SIM, liczbę zainstalowanych aplikacji oraz wybrane parametry urządzenia. Na tej podstawie oblicza poziom podejrzenia, który może wpływać na aktywację dalszych funkcji kradzieżowych i utrudniać badanie próbki w środowiskach testowych.
Konsekwencje / ryzyko
Ryzyko związane z Perseusem należy ocenić jako wysokie. Zagrożenie nie ogranicza się do jednego wektora ataku, ale wspiera pełny łańcuch oszustwa mobilnego: infekcję, eskalację uprawnień, rozpoznanie urządzenia, kradzież danych, zdalne sterowanie i finalizację nieautoryzowanych działań.
Dla użytkownika końcowego oznacza to możliwość utraty środków finansowych, przejęcia kont bankowych, naruszenia prywatności oraz kompromitacji danych zapisanych w aplikacjach notatek. Szczególnie niebezpieczne jest to, iż wiele osób przez cały czas używa takich aplikacji jako nieformalnego magazynu wrażliwych informacji, często bez odpowiedniego szyfrowania.
Dla instytucji finansowych i zespołów odpowiedzialnych za wykrywanie nadużyć Perseus stanowi poważny problem, ponieważ model zdalnej kontroli urządzenia utrudnia odróżnienie rzeczywistej aktywności użytkownika od działań operatora malware. jeżeli przestępca wykonuje operacje bezpośrednio z urządzenia ofiary, część sygnałów telemetrycznych może wyglądać wiarygodnie.
Dodatkowo malware może służyć do kradzieży danych z aplikacji kryptowalutowych oraz do pozyskiwania informacji pomocniczych, które zwiększają skuteczność kolejnych ataków socjotechnicznych. To czyni z Perseusa zagrożenie wielowarstwowe, łączące klasyczny trojan bankowy z komponentami przejęcia urządzenia i szerokiej eksfiltracji danych.
Rekomendacje
Podstawową rekomendacją jest unikanie instalowania aplikacji z nieznanych źródeł, zwłaszcza pakietów APK reklamowanych jako darmowe usługi IPTV, odblokowane platformy streamingowe lub nieoficjalne odtwarzacze treści premium. Sideloading pozostaje jednym z głównych wektorów infekcji mobilnym malware.
Należy również ograniczyć uprawnienia usług dostępności wyłącznie do zaufanych aplikacji o jasno uzasadnionej funkcji. Każda aplikacja żądająca tak szerokiego dostępu powinna być traktowana z podwyższoną ostrożnością.
Wrażliwe informacje nie powinny być przechowywane w zwykłych aplikacjach do notatek. Dotyczy to haseł, kodów PIN, danych kart, fraz odzyskiwania i kodów jednorazowych. Zamiast tego warto stosować menedżery haseł z szyfrowaniem oraz dedykowane rozwiązania do bezpiecznego przechowywania sekretów.
- monitorowanie anomalii związanych z nadużyciem usług dostępności,
- wykrywanie fraudów overlay i nietypowych sekwencji interakcji z interfejsem,
- analizę aplikacji instalowanych poza oficjalnym sklepem,
- korelację sygnałów z urządzenia z zachowaniami transakcyjnymi,
- stosowanie dodatkowych mechanizmów uwierzytelniania odpornych na przejęcie sesji mobilnej,
- w środowiskach firmowych egzekwowanie polityk MDM oraz blokowanie instalacji z nieautoryzowanych źródeł.
Podsumowanie
Perseus pokazuje, iż współczesne trojany bankowe na Androida rozwijają się przez konsekwentne ulepszanie sprawdzonych technik. Połączenie nadużycia usług dostępności, ataków overlay, zdalnej kontroli urządzenia i skanowania aplikacji notatek tworzy wyjątkowo groźne narzędzie do oszustw finansowych i kradzieży danych.
Najważniejszy wniosek jest praktyczny: bezpieczeństwo mobilne nie kończy się na unikaniu fałszywych ekranów logowania. Użytkownicy i organizacje muszą zakładać, iż infekcja może prowadzić do pełnego przejęcia urządzenia oraz eksfiltracji danych przechowywanych także poza aplikacjami bankowymi.
Źródła
- The Hacker News — New Perseus Android Banking Malware Monitors Notes Apps to Extract Sensitive Data — https://thehackernews.com/2026/03/new-perseus-android-banking-malware.html
- ThreatFabric — ThreatFabric official website — https://www.threatfabric.com/
- ThreatFabric — The Rage of Android Banking Trojans — https://www.threatfabric.com/blogs/the-rage-of-android-banking-trojans
