Um novo malware para Android, denominado Perseus, está circulando ativamente, ameaçando suas contas bancárias, senhas e o conteúdo de suas notas. Este sofisticado trojan disfarça-se de aplicativos de IPTV para enganar suas vítimas e, uma vez instalado, atua como um keylogger, capturando tudo o que você digita e extraindo informações de seu celular sem que você perceba.
Pesquisadores da ThreatFabric documentaram o Perseus como uma evolução direta de trojans bancários anteriores, como Cerberus e Phoenix. Ao contrário de seus predecessores, o Perseus não busca apenas credenciais bancárias, mas também visa especificamente o conteúdo dos aplicativos de notas, onde os usuários costumam armazenar informações sensíveis e senhas.
Para infectar dispositivos, o Perseus aproveita o hábito de muitos usuários de instalar aplicativos de IPTV fora da Google Play Store. Ele tenta simular uma instalação normal. Para contornar as restrições de segurança do Android 13 e versões posteriores, o malware utiliza um instalador auxiliar que também distribui outras ameaças conhecidas, como o Medusa.
Entre os aplicativos falsos que distribuem o Perseus estão Roja AppDirect, TvTApp e PolBox Tv. Nenhum deles está disponível na Google Play; eles são baixados exclusivamente de sites de terceiros. O caso de “Roja Directa” é particularmente enganoso, pois capitaliza a popularidade do nome para fazer os usuários acreditarem que verão eventos esportivos, quando na verdade estão abrindo uma porta para os atacantes em seus telefones.
Como funciona o malware Perseus no Android
Uma vez em operação, o Perseus implanta múltiplas técnicas de ataque. Ele usa telas falsas que se sobrepõem a aplicativos legítimos, como os bancários, para capturar credenciais. Além disso, registra em tempo real tudo o que o usuário digita em qualquer aplicativo, uma função herdada diretamente do Phoenix.
O que realmente diferencia o Perseus é um comando chamado ‘scan_notes’. Isso permite que ele abra automaticamente e navegue pelo conteúdo dos aplicativos de notas instalados no dispositivo, extraindo informações. Os aplicativos de notas afetados incluem Google Keep, Samsung Notes, Xiaomi Notes, Evernote, Microsoft OneNote, ColorNote e Simple Notes.
O perigo se intensifica com a capacidade do Perseus de assumir o controle remoto do celular. Os atacantes podem ver a tela ao vivo, navegar pelo telefone, inserir texto, executar gestos e até mesmo silenciar o áudio, tudo de forma completamente imperceptível para o usuário.
Como se proteger deste e de outros trojans
A medida mais eficaz para prevenir uma infecção é evitar a instalação de aplicativos de fontes externas à Google Play, especialmente aqueles relacionados a serviços de IPTV. A menos que você tenha certeza absoluta da proveniência e segurança de um aplicativo, é melhor não instalá-lo. Também é crucial revisar periodicamente as permissões de acessibilidade do dispositivo (em Configurações > Acessibilidade) e desativar qualquer serviço suspeito ou desconhecido.
Se você instalou recentemente algum aplicativo de IPTV de terceiros e usa os aplicativos de notas mencionados, é recomendável analisar seu dispositivo com uma solução de segurança. Manter seu sistema Android atualizado e o Google Play Protect ativo são passos fundamentais para minimizar os riscos.
