Исследователи в области кибербезопасности обнаружили новый Android-вирус под названием Perseus, который способен извлекать конфиденциальные данные прямо из заметок пользователей. Речь идет о паролях, seed-фразах криптокошельков и финансовой информации — тех данных, которые многие привыкли хранить «на всякий случай» в приложениях для заметок.
Вредонос распространяется через неофициальные источники, маскируясь под IPTV-приложения. Такой подход уже стал популярным среди злоумышленников: пользователи сами устанавливают APK-файлы, игнорируя предупреждения системы безопасности. Похожая схема ранее использовалась и в других атаках, о которых мы уже писали в материале про кражу паролей через вредоносные плагины.
Как работает Android вирус Perseus
После установки Perseus получает расширенные права через Accessibility Services — это позволяет злоумышленникам практически полностью контролировать устройство. Вирус может делать скриншоты, имитировать действия пользователя, запускать приложения и даже скрывать свою активность с помощью наложения черного экрана.
Но главная особенность Perseus — это доступ к приложениям для заметок. Вредонос последовательно открывает такие сервисы, как Google Keep, Samsung Notes, Evernote и другие, после чего анализирует содержимое записей.
По данным исследовательской компании ThreatFabric, это первый зафиксированный случай, когда Android-вирус целенаправленно сканирует пользовательские заметки в поисках чувствительной информации.
«Заметки часто содержат пароли, финансовые данные или seed-фразы. Это делает их крайне ценным источником информации для злоумышленников», — отмечают эксперты ThreatFabric.
При этом Perseus умеет обходить защитные механизмы Android 13 и выше, а также проверяет устройство на признаки анализа — например, эмуляторы или тестовые среды. В зависимости от «оценки подозрительности» устройство либо атакуется, либо игнорируется.
Кого атакуют и почему это важно
Основными целями кампании стали пользователи из Турции и Италии, однако вредонос также затрагивает другие страны Европы и криптовалютные сервисы. Всего в списке — десятки финансовых приложений и не менее девяти криптосервисов.
Сценарий атаки выглядит просто: пользователь устанавливает «бесплатное» IPTV-приложение, после чего получает полный компромисс устройства. В итоге злоумышленники могут получить доступ не только к банковским данным, но и к криптокошелькам.
На фоне роста подобных атак эксперты рекомендуют пересмотреть привычки хранения данных. Например, не хранить пароли в заметках и использовать специализированные решения — об этом мы подробно рассказывали в статье про менеджеры паролей.
Чтобы снизить риски, рекомендуется:
- не устанавливать APK-файлы из сторонних источников;
- использовать только официальный магазин Google Play;
- держать включенной защиту Play Protect;
- избегать хранения чувствительных данных в заметках.
Судя по всему, развитие Android-вредоносов движется в сторону более «умного» анализа пользовательских данных. И если раньше атакующих интересовали только логины и SMS-коды, то теперь под прицел попадает вся цифровая «память» пользователя.
Источник: BleepingComputer
