Un recién detectado malware para Android amenaza la seguridad de tus datos más sensibles, incluyendo cuentas bancarias, credenciales y notas personales. Bautizado como Perseus, esta amenaza se camufla como aplicaciones legítimas de IPTV para engañar a los usuarios. Tras su instalación, opera discretamente, registrando las pulsaciones del teclado y extrayendo información vital de tu dispositivo sin levantar sospechas.
Expertos en ciberseguridad han identificado a Perseus como una evolución avanzada de troyanos ya conocidos como Cerberus y Phoenix. Estos antecesores se han centrado durante años en el robo de credenciales bancarias en el entorno Android. Sin embargo, Perseus va más allá, incorporando la capacidad de acceder y extraer información directamente de las aplicaciones de notas, un lugar donde muchos usuarios guardan datos cruciales.
La estrategia de infección de Perseus consiste en simular ser una aplicación de IPTV, aprovechando que los usuarios suelen instalar este tipo de software desde fuentes externas a Google Play. Este método busca normalizar el proceso de instalación. Para eludir las defensas de Android 13 y versiones posteriores, el malware emplea un instalador secundario que, además, podría introducir otras amenazas como Medusa.
Según los análisis, las aplicaciones que actualmente distribuyen el malware Perseus son Roja AppDirect, TvTApp y PolBox Tv. Es crucial destacar que ninguna de ellas se encuentra en la tienda oficial de Google Play, siendo su descarga exclusiva de sitios web no verificados. El nombre «Roja Directa», en particular, es explotado para engañar a los usuarios que buscan transmisiones deportivas, exponiéndolos sin saberlo a esta amenaza.
Funcionamiento del Malware Perseus en Dispositivos Android
Tras comprometer un dispositivo, Perseus ejecuta múltiples acciones maliciosas. Despliega interfaz de usuario falsas sobre aplicaciones legítimas, como las bancarias, para interceptar credenciales. Simultáneamente, realiza un registro continuo de todas las pulsaciones de teclado del usuario en cualquier aplicación. Estas funcionalidades demuestran una herencia directa de Phoenix, indicando una reutilización estratégica de código malicioso.
La característica distintiva de Perseus, que lo diferencia de variantes anteriores, es su comando ‘scan_notes’. Este le permite abrir y escanear automáticamente las aplicaciones de notas presentes en el terminal. Los ciberdelincuentes pueden entonces explorar el contenido y exfiltrar datos sensibles. Entre las aplicaciones de notas vulnerables se encuentran Google Keep, Samsung Notes, Xiaomi Notes, Evernote, Microsoft OneNote, ColorNote y Simple Notes.
Adicionalmente, Perseus confiere a los atacantes la peligrosa capacidad de controlar remotamente el dispositivo infectado. Esto incluye la visualización de la pantalla en tiempo real, navegación por el sistema, introducción de texto, simulación de gestos táctiles e incluso la manipulación del audio, todo ello sin que el propietario del móvil sea consciente.
Estrategias de Protección contra Perseus y Otros Troyanos
La medida más efectiva para prevenir la infección es abstenerse de instalar aplicaciones de fuentes externas a Google Play Store, particularmente si se trata de servicios de IPTV. Aunque esto pueda ser un desafío para algunos usuarios, es fundamental evitar cualquier aplicación cuya fuente no sea completamente fiable o desconocida. Es igualmente recomendable revisar periódicamente los permisos de accesibilidad del dispositivo, a través de Ajustes > Accesibilidad, y deshabilitar cualquier servicio desconocido o sospechoso.
En caso de haber instalado recientemente una aplicación dudosa o de utilizar alguna de las aplicaciones de notas mencionadas, se aconseja realizar un análisis exhaustivo del dispositivo con un software de seguridad confiable. Mantener el sistema operativo Android actualizado y tener Google Play Protect activado son acciones básicas e indispensables para minimizar los riesgos.