Новый вирус для Android копается в ваших заметках, чтобы найти секретную информацию

Александр Гайдамашко

Основные тезисы

Новый вирус Perseus для Android проникает в цифровые блокноты, чтобы похитить конфиденциальную информацию, включая пароли и финансовые детали.
Вирус распространяется через неофициальные магазины приложений, маскируясь под IPTV-сервисы, и поражает преимущественно европейские страны.

Вирус Perseus для Android взламывает личные заметки и ворует пароли пользователей

Секреты под угрозой: как новый вирус Perseus охотится на ваши личные заметки / Коллаж 24 Канала/Freepik

Киберпреступники нашли новый способ добраться до самых интимных данных владельцев Android-устройств. Теперь под прицелом оказались не только банковские аккаунты, но и обычные цифровые блокноты, где пользователи хранят конфиденциальную информацию. Новая угроза искусно маскируется под популярные сервисы, оставаясь незамеченной благодаря сложным механизмам обхода защиты и анализа поведения жертвы.

Почему злоумышленников заинтересовали ваши заметки?

Исследователи из компании мобильной безопасности ThreatFabric обнаружили новую вредоносную программу под названием Perseus, которая демонстрирует нетипичный подход к похищению данных. В отличие от большинства вирусов, ограничивающихся перехватом сообщений или банковских реквизитов, Perseus систематически проверяет личные заметки пользователей. Хакеры охотятся на пароли, фразы восстановления для криптокошельков, финансовые детали и другую частную информацию, которую люди часто записывают в телефон, чтобы не забыть.

Это первый случай, когда эксперты зафиксировали такое прицельное внимание к программам для записей на Android. Под удар попали самые популярные сервисы: Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote и Simple Notes. Злоумышленники понимают, что именно в этих приложениях хранится огромное количество контекстных и личных данных, которые могут стать ключом к полному контролю над цифровой жизнью человека.

Как Perseus проникает в систему?

Основным каналом распространения Perseus стали неофициальные магазины приложений, где он маскируется под IPTV-сервисы для бесплатного просмотра пиратского контента. Пользователи, которые ищут доступ к прямым спортивным трансляциям или нелегальным фильмам и сериалам, часто игнорируют предупреждения безопасности и загружают установочные файлы из сомнительных источников.

Одним из примеров приманки стало приложение Roja Directa TV, которое часто становится объектом внимания правоохранителей из-за нарушения авторских прав. После установки программа использует уязвимости системы, чтобы обойти ограничения Android по сторонней загрузке приложений. Получив доступ к специальным возможностям (Accessibility Services), Perseus фактически захватывает управление устройством.

Операторы вируса могут удаленно видеть все, что происходит на экране, стримить изображения на свои серверы, имитировать нажатие, ввода текста и даже блокировать работу других приложений. Для сокрытия своей активности вирус может накладывать на дисплей черный экран, пока в фоновом режиме происходит похищение информации.

Кто в зоне риска?

Технический анализ показал, что Perseus не является полностью новой разработкой, а базируется на коде Phoenix, который в свою очередь происходит от известного банковского трояна Cerberus, чей исходный код попал в сеть несколько лет назад, пишет Bleeping Computer. Сейчас обнаружено две версии вредоносного ПО: турецкую и более совершенную английскую. Последняя отличается высоким уровнем детализации логов и наличием эмодзи в коде, что, по мнению исследователей, прямо указывает на использование инструментов искусственного интеллекта при разработке.

География атак охватывает преимущественно европейские страны. Больше всего целей зафиксировано в Турции, где вирус атакует 17 финансовых учреждений, а также в Италии (15 учреждений), Польше (5), Германии (3) и Франции (2). Особое внимание злоумышленники уделяют криптовалютным сервисам, атакуя 9 соответствующих приложений.

Как защитить свой смартфон от новой волны кибератак?

Перед тем как начать активные действия на зараженном устройстве, Perseus проводит тщательную проверку среды. Он анализирует наличие root-прав, данные SIM-карты, профиль оборудования, состояние батареи и даже количество установленных приложений. На основе этих параметров вирус формирует "оценку подозрительности", которую отправляет на сервер управления, и только после одобрения оператором начинается активная фаза кражи данных.

Чтобы минимизировать риски, эксперты настоятельно советуют владельцам Android-смартфонов отказаться от загрузки файлов из неофициальных источников и от просмотра нелицензионного контента.
Все приложения для стриминга или работы с данными следует устанавливать исключительно через Google Play.
Также важно держать функцию Play Protect постоянно активной, поскольку она позволяет регулярно сканировать систему на наличие известных угроз и вовремя выявлять подозрительную активность вредоносных программ.