Proteggi il tuo smartphone da Perseus: la guida essenziale
Se hai scaricato un’app di streaming sportivo da un sito non ufficiale, devi sapere che il tuo dispositivo potrebbe essere infetto da Perseus, un malware Android particolarmente pericoloso. Questa minaccia non ruba solo le tue credenziali bancarie, ma accede anche alle tue note personali, dove spesso conserviamo password, codici di recupero e informazioni finanziarie sensibili. La soluzione più rapida è disinstallare immediatamente qualsiasi app IPTV scaricata da fuori Google Play Store e installare un antivirus affidabile.
Cos’è Perseus e come infetta i dispositivi
Perseus è un malware Android sofisticato identificato dai ricercatori di sicurezza di ThreatFabric. Il malware si nasconde in false applicazioni di IPTV distribuite attraverso store non ufficiali, con lo scopo principale di rubare dati sensibili e assumere il controllo totale del dispositivo. Una delle app più utilizzate per diffondere questa minaccia è Roja Directa TV, che sfrutta la popolarità del nome della piattaforma di streaming sportivo originale per ingannare gli utenti.
La campagna di diffusione di Perseus prende di mira principalmente gli utenti in Turchia e Italia, colpendo sia istituzioni finanziarie che servizi di criptovalute. Il malware è stato sviluppato riutilizzando il codice di altri malware noti come Phoenix e Cerberus, con versioni distinte create in inglese e turco.
Come funziona l’infezione
Perseus si diffonde attraverso applicazioni fasulle per IPTV che gli utenti scaricano da siti web di terze parti. Per infettare un dispositivo, il malware sfrutta la disponibilità degli utenti a concedere il permesso di installazione da fonti sconosciute (sideloading), un’operazione comune per chi vuole accedere a servizi di streaming gratuiti. Una volta installato, il malware utilizza un installler ausiliario sofisticato che riesce a bypassare le restrizioni di sicurezza di Android 13 e versioni successive, lo stesso installer utilizzato per distribuire altri malware come Klopatra e Medusa.
I dati che Perseus ruba dal tuo smartphone
Una volta attivo sul dispositivo, Perseus è in grado di eseguire diverse operazioni dannose simultaneamente. Il malware cattura in tempo reale tutto ciò che digiti sullo schermo attraverso il keylogging, permettendo ai cybercriminali di intercettare le tue credenziali bancarie e password. Inoltre, mostra schermate di login fasulle sopra le tue app reali, come quella della tua banca, per ingannare ulteriormente l’utente e rubare le credenziali di accesso ai conti correnti.
Ciò che rende Perseus particolarmente pericoloso è una funzionalità esclusiva della versione inglese chiamata “scan_notes”. Questa funzione apre automaticamente le app di note-taking installate sul tuo dispositivo e accede al loro contenuto. Le applicazioni colpite includono Google Keep, Samsung Notes, Xiaomi Notes, Evernote, Microsoft OneNote, ColorNote e Simple Notes. I cybercriminali cercano informazioni sensibili come password, seed phrase di criptovalute e dati finanziari che gli utenti spesso annotano in queste app credendo siano private.
Il controllo remoto totale del dispositivo
Sfruttando i permessi di accessibilità di Android, Perseus concede ai cybercriminali il controllo remoto completo del dispositivo infetto. Questo significa che gli attaccanti possono:
- Catturare continuamente screenshot e inviarli al server di comando e controllo
- Inviare la gerarchia dell’interfaccia per l’interazione remota programmata
- Simulare tocchi, swipe, inserimento di testo e altre azioni dell’interfaccia utente
- Accendere lo schermo, aprire app e bloccare applicazioni
- Attivare una sovrapposizione nera per nascondere le loro attività dall’utente
- Eseguire attacchi overlay e keylogging avanzati
- Autorizzare transazioni bancarie fraudolente direttamente dal tuo conto
Come proteggere il tuo dispositivo
La protezione da Perseus inizia con semplici ma efficaci abitudini di sicurezza. Scarica le app esclusivamente da Google Play Store, dove Google implementa controlli di sicurezza rigorosi. Evita completamente il sideloading di file APK da siti web non ufficiali, anche se promettono accesso gratuito a servizi di streaming.
Installa e mantieni aggiornato un antivirus affidabile sul tuo dispositivo. La funzionalità Play Protect di Android, integrata nativamente nel sistema operativo, può rilevare e bloccare malware nascosti in app installate tramite sideloading. Esegui regolarmente scansioni antivirus complete per verificare lo stato di sicurezza del tuo dispositivo.
Se sospetti che il tuo dispositivo sia già infetto, disinstalla immediatamente tutte le app IPTV scaricate da fuori Google Play Store. In caso di dubbio, ripristina il dispositivo alle impostazioni di fabbrica dopo aver eseguito il backup dei dati importanti da una fonte attendibile.
Le app identificate con Perseus
I ricercatori di sicurezza hanno identificato tre applicazioni specifiche che distribuiscono Perseus:
- Roja App Directa (com.xcvuc.ocnsxn) – Dropper
- TvTApp (com.tvtapps.live) – Payload Perseus
- PolBox Tv (com.streamview.players) – Payload Perseus
Nessuna di queste app è disponibile su Google Play Store. Se le hai installate, disinstallale immediatamente e verifica il tuo dispositivo con un antivirus.
Technical Deep Dive
Per gli utenti più esperti, è importante comprendere i meccanismi tecnici avanzati di Perseus. Il malware implementa sofisticate tecniche anti-analisi e anti-rilevazione prima di iniziare le sue operazioni dannose. Esegue controlli approfonditi inclusi verifica dello stato di root, fingerprint dell’emulatore, dettagli della SIM, profilo hardware, dati della batteria, presenza di Bluetooth, numero di app installate e disponibilità di Google Play Services. Crea quindi un “suspicion score” che invia al server di comando e controllo, permettendo agli attaccanti di determinare se il dispositivo è un vero bersaglio o un ambiente di analisi.
L’analisi del codice sorgente di Perseus rivela che gli sviluppatori hanno probabilmente utilizzato un modello di linguaggio di grandi dimensioni (LLM) per assistere nello sviluppo del malware. Questo è evidenziato dalla presenza di logging estensivo all’interno dell’app e dalla presenza di emoji nel codice sorgente, caratteristiche inusuali per il malware tradizionale.
Il malware espande la base di codice di Phoenix, ereditando funzionalità come overlay attacks e keylogging in tempo reale. Tuttavia, la nuova funzionalità “scan_notes” rappresenta un’evoluzione significativa nella strategia di estrazione dei dati, sfruttando il fatto che gli utenti spesso archiviano informazioni sensibili in app di note-taking credendo siano private.
Dal punto di vista tecnico, Perseus sfrutta l’API di Accessibility Services di Android in modo abusivo, un vettore di attacco sempre più popolare tra i malware bancari moderni. Questo permette al malware di operare con privilegi elevati senza richiedere l’accesso root al dispositivo. La capacità di bypassare le restrizioni di sideloading di Android 13 e successive suggerisce che gli sviluppatori hanno una comprensione profonda dei meccanismi di sicurezza del sistema operativo.
Per i professionisti della sicurezza, è consigliabile implementare politiche di Mobile Device Management (MDM) che disabilitino il sideloading nei dispositivi aziendali e monitorino l’installazione di app non autorizzate. L’analisi del comportamento di rete può anche rilevare comunicazioni verso server di comando e controllo noti, permettendo una risposta rapida alle infezioni.
Fonte: https://www.punto-informatico.it/app-fasulla-roja-directa-installa-malware-android/
