Un malware Android particolarmente insidioso è stato individuato dagli analisti di ThreatFabric, e il suo nome è già diventato un caso tra gli esperti di sicurezza informatica. Si chiama Perseus, appartiene alla stessa famiglia dei trojan bancari Cerberus e Phoenix, ma va ben oltre quello che facevano i suoi predecessori. Non si limita a rubare credenziali o a garantire accesso remoto al dispositivo: Perseus è progettato per andare a cercare attivamente le informazioni più sensibili custodite nello smartphone, scavando in profondità nel sistema operativo.
Come molti altri virus simili, Perseus sfrutta i servizi di accessibilità di Android per operare. Questo gli consente di controllare il telefono da remoto, registrare ciò che accade sullo schermo, simulare interazioni con le app e, cosa piuttosto inquietante, nascondere tutto quello che sta facendo dietro una schermata nera. Chi usa lo smartphone non si accorge di nulla: lo schermo sembra spento o bloccato, ma nel frattempo il malware lavora indisturbato.
Perché Perseus è più pericoloso degli altri trojan bancari
Il dettaglio che rende Perseus davvero temibile rispetto ai malware della stessa categoria è la sua capacità di analizzare il contenuto delle app di note. Non parliamo di applicazioni oscure o poco diffuse: Perseus riesce ad accedere ai dati salvati su Google Keep, Samsung Notes, Xiaomi Notes, Evernote e Microsoft OneNote, oltre ad alternative come Simple Notes e ColorNote.
Il meccanismo è automatizzato. Una volta attivato, il malware lancia un comando specifico che gli permette di esplorare in autonomia i contenuti salvati dentro queste app, registrandoli senza che nessuno se ne renda conto. Il ragionamento di chi ha progettato Perseus è semplice e, purtroppo, efficace: nelle note finiscono spesso password, PIN, codici di recupero bancari e altre informazioni estremamente personali. Molte persone usano queste app come una sorta di cassaforte improvvisata, senza rendersi conto del rischio. Avere accesso diretto a questo tipo di dati rappresenta un vantaggio enorme per chi gestisce attacchi informatici su larga scala.
Come difendersi da Perseus
La buona notizia, almeno per ora, è che Perseus non è ancora approdato nel Google Play Store. La sua diffusione avviene prevalentemente attraverso app che si spacciano per servizi IPTV, distribuite tramite store alternativi o scaricando direttamente il relativo APK infetto dal web.
Il consiglio quindi resta quello di sempre: evitare di installare applicazioni provenienti da fonti non affidabili e prestare molta attenzione alle autorizzazioni richieste dal software dopo l’installazione, soprattutto quando riguardano l’accessibilità. Mantenere sempre attivo Google Play Protect e aggiornare regolarmente il sistema operativo con le patch di sicurezza resta un’altra azione fondamentale per ridurre il rischio di infezione da parte di Perseus e di minacce simili.
