Falso aplicativo de IPTV para Android rouba dados pessoais e bancários

Pesquisadores de segurança identificaram um novo vírus para celulares Android chamado Perseus. O malware rouba credenciais bancárias, lê anotações pessoais e permite controle remoto total do dispositivo. 

A ameaça está em distribuição ativa e mira principalmente usuários na Turquia e na Itália. Instituições financeiras, exchanges de criptomoedas e usuários comuns estão entre os alvos identificados até agora.

Perseus se aproveita das ruínas de outros malwares

O Perseus não surgiu do nada. Ele é construído sobre o código de vírus mais antigos e conhecidos no mundo do crime digital.

O principal deles é o Cerberus, uma família de malware ativa há muitos anos. O código do Cerberus vazou publicamente em 2020. A partir daí, outros criminosos passaram a usá-lo como base para criar novas ameaças. O Phoenix foi uma dessas variantes. 

O Perseus, por sua vez, parece ter sido construído diretamente sobre o código do Phoenix. Ele herda a estrutura técnica do antecessor e adiciona funcionalidades novas em cima dela.

Durante a análise, os pesquisadores identificaram duas versões do vírus circulando ao mesmo tempo. Uma delas tem os nomes internos escritos em inglês. A outra usa nomenclatura em turco. 

A versão em inglês é mais completa e contém ferramentas de depuração mais elaboradas. Ela também apresenta um detalhe incomum para um malware.

Há emojis espalhados pelo código, além de registros excessivos de atividade interna. Esses são sinais de que os desenvolvedores podem ter usado ferramentas de inteligência artificial para ajudar a escrever partes do vírus.

IPTV é a isca

O nome Perseus veio diretamente do painel de controle usado pelos criminosos. Esse painel é a interface pela qual os atacantes gerenciam os dispositivos infectados. 

Ele ficou visível durante a análise de algumas das campanhas investigadas. A escolha do nome segue uma tendência de grupos criminosos que batizam suas ferramentas com referências à mitologia grega.

O vírus chega aos celulares disfarçado de aplicativos de IPTV, que prometem acesso a canais de televisão por streaming. Eles são muito populares e costumam ser distribuídos fora da Play Store, a loja oficial do Android. 

Por esse motivo, os usuários já estão acostumados a instalar esse tipo de aplicativo de fontes alternativas. O Perseus se esconde dentro desses apps para não levantar suspeitas. A instalação parece normal, então o usuário não percebe que está infectando o próprio celular.

Para contornar proteções mais recentes do Android, o Perseus usa um componente chamado dropper. Esse componente é instalado primeiro. Ele prepara o terreno e burla restrições de segurança presentes nas versões mais novas do sistema. 

Só depois disso o vírus principal é implantado no dispositivo. Esse mesmo dropper já foi identificado na distribuição de outros malwares, como o Klopatra e o Medusa. O que indica que diferentes grupos criminosos compartilham infraestrutura e ferramentas entre si.

Telas falsas ajudam a roubar senhas e ler notas

Depois de instalado, o Perseus age em várias frentes ao mesmo tempo. A primeira delas é o roubo de credenciais bancárias. O vírus exibe telas falsas sobrepostas sobre aplicativos reais. 

Quando o usuário abre o app do banco, ele vê uma tela idêntica à original, mas essa tela pertence ao vírus. Tudo que o usuário digita ali é capturado e enviado aos criminosos. Senhas, números de conta e dados de cartão ficam expostos sem que a vítima perceba.

Uma das funcionalidades mais distintas do Perseus é o monitoramento de anotações. Essa capacidade é raramente vista em outros malwares para Android. O vírus verifica se o dispositivo tem aplicativos de notas instalados. 

Em seguida, ele abre cada um desses apps automaticamente. Percorre cada anotação salva. Registra todo o conteúdo encontrado. Faz isso sem nenhuma interação do usuário. 

Senhas anotadas, frases de recuperação de carteiras de criptomoedas, dados financeiros e informações pessoais guardadas nesses aplicativos ficam completamente expostos.

Celular fica à mercê dos criminosos

Para realizar essa varredura, o Perseus usa um recurso legítimo do Android chamado Serviço de Acessibilidade. Esse serviço foi criado para ajudar pessoas com deficiência a usar o celular. Ele permite que aplicativos interajam com a interface de outros apps. 

O Perseus desvia essa função para fins maliciosos. Ele simula toques na tela, navega pelos menus e lê o conteúdo dos aplicativos como se fosse o próprio usuário fazendo tudo isso.

O controle remoto do dispositivo é outra capacidade central do vírus. Quando ativado, o Perseus começa a capturar a tela do celular continuamente. 

Essas imagens são comprimidas, codificadas e enviadas ao servidor dos criminosos em tempo quase real. O atacante passa a enxergar tudo que acontece na tela da vítima. Ele pode ver mensagens, senhas digitadas, notificações e qualquer outra atividade no aparelho.

Em outro modo de operação, o vírus envia ao criminoso uma representação estruturada de toda a interface do celular. Com isso, o atacante não precisa apenas observar. Ele consegue interagir com o dispositivo remotamente, tocar em botões, preencher formulários e navegar entre aplicativos. 

É como se o criminoso estivesse segurando o celular da vítima nas próprias mãos. Isso permite que transações bancárias fraudulentas sejam iniciadas e autorizadas diretamente pelo atacante, sem que a vítima saiba.

Malware se esconde

Para não ser detectado por pesquisadores de segurança, o Perseus realiza uma série extensa de verificações antes de agir. Ele verifica se há um chip SIM inserido no aparelho.

Depois, analisa se os dados da operadora parecem reais. Checa se a bateria apresenta valores plausíveis. Avalia se o dispositivo tem câmera e outros sensores físicos. Conta quantos aplicativos estão instalados. Verifica se o Google Play Services está presente. 

Ele então busca por ferramentas usadas em análises de segurança, como o Frida e o Xposed. Procura sinais de que o sistema foi desbloqueado com acesso root.

Todas essas informações são combinadas para gerar uma pontuação de suspeita. Essa pontuação é enviada ao painel dos criminosos. Um operador humano analisa os dados e decide como prosseguir com cada dispositivo infectado. 

Turquia e Itália são principais alvos

As campanhas identificadas mostram um foco geográfico claro. A Turquia lidera a lista de alvos, com 17 instituições financeiras na mira. A Itália aparece em seguida, com 15 instituições visadas. Polônia, Alemanha, França, Emirados Árabes Unidos e Portugal também estão na lista. 

Além dos bancos tradicionais, o Perseus também mira exchanges de criptomoedas. Nove plataformas do setor foram identificadas como alvos ativos nas campanhas analisadas.

A distribuição geográfica dos alvos não é por acaso. A Turquia concentra a maior parte das campanhas observadas. O uso de aplicativos IPTV como disfarce reforça esse foco, pois esse serviço é popular na região. 

O Perseus também apresenta conexões com outras operações criminosas conhecidas. Além de compartilhar o dropper com famílias como Medusa e Klopatra, ele usa infraestrutura semelhante à de outros grupos ativos. 

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.