Il malware bancario Android Perseus sta attirando molta attenzione per la sua capacita di combinare furto di credenziali, controllo remoto del dispositivo e raccolta mirata di informazioni ad alto valore. Questa nuova famiglia di Android banking malware viene diffusa tramite app dropper distribuite su siti di phishing e spesso si presenta come servizio IPTV, un contesto credibile per chi scarica app fuori dallo store ufficiale tramite sideload. La scelta non e casuale, perche aumenta le probabilita di installazione riducendo i sospetti dellutente.

Perseus deriva da basi gia note nel panorama delle minacce mobile, evolvendosi da codebase legate a Cerberus e Phoenix. Il risultato e una piattaforma piu flessibile, pensata per il device takeover e la frode finanziaria in tempo reale. Le campagne osservate hanno preso di mira diversi paesi, con un focus rilevante anche su Italia e Turchia, oltre a Polonia, Germania, Francia, Emirati Arabi Uniti e Portogallo.

Il cuore operativo di Perseus e labuso dei servizi di accessibilita di Android, una tecnica ricorrente nei trojan bancari che consente di ottenere permessi estesi e di interagire con linterfaccia. In questo modo il malware puo eseguire overlay attack mostrando schermate false sopra app bancarie o servizi crypto, catturare i tasti digitati e intercettare credenziali e dati di autenticazione. In parallelo, un pannello di comando e controllo permette agli operatori di inviare comandi, avviare sessioni di controllo remoto e persino autorizzare transazioni fraudolente.

Un aspetto distintivo e la funzione di monitoraggio delle app di note. Perseus puo eseguire un comando dedicato per estrarre contenuti da applicazioni come Google Keep, Samsung Notes, Xiaomi Notes, Evernote, ColorNote e Microsoft OneNote. Questa scelta segnala un interesse specifico per informazioni che molti utenti conservano nelle note, come password, codici temporanei, dati bancari o frasi di recupero.

Per evitare analisi e ambienti controllati, Perseus esegue controlli anti debug e anti analisi cercando strumenti come Frida e Xposed, verificando la presenza della SIM, la quantita di app installate e parametri come valori di batteria. Tutti questi elementi confluiscono in un punteggio di sospetto inviato al server, utile a decidere se procedere con le fasi piu invasive di furto dati.