【安全资讯】新型安卓恶意软件“Perseus”窃取用户笔记中的敏感信息

概要：

在移动安全威胁日益复杂的背景下，一种名为“Perseus”的新型安卓恶意软件正通过伪装成盗版流媒体应用进行传播。该恶意软件不仅能够完全控制受感染设备，还具备一项独特功能——主动扫描用户笔记应用以窃取密码、恢复短语和财务数据等敏感信息。这一趋势凸显了攻击者正将目标从传统凭证扩展到更具情境价值的个人数据。

主要内容：

“Perseus”恶意软件主要通过非官方应用商店分发，伪装成提供盗版内容的IPTV应用，利用了用户习惯于从谷歌Play商店外安装APK文件并忽略安全警告的心理。其投放器能够绕过安卓13及更高版本的侧载限制，与传播Klopatra和Medusa恶意软件的投放器相同。该恶意软件基于Phoenix代码库构建，而Phoenix又源自约六年前泄露的Cerberus代码。

该恶意软件主要针对土耳其和意大利的金融机构以及加密货币服务。它有两个版本：一个土耳其语版本和一个更精炼的英语版本。英语版本包含广泛的日志记录和代码中的表情符号，强烈表明在开发过程中使用了AI工具。它通过滥用安卓无障碍服务，使操作者能够完全远程控制设备，包括持续截图、模拟用户界面交互、启动覆盖攻击和键盘记录等。

“Perseus”最不寻常的功能是针对安卓笔记应用，包括Google Keep、小米笔记、三星笔记、ColorNote、Evernote、Microsoft OneNote和Simple Notes。这是安全研究人员首次观察到安卓恶意软件主动扫描设备上个人笔记中的敏感细节。在执行前，它会进行广泛的反分析和规避检查，并计算一个“可疑分数”发送给C2服务器，操作者据此决定是否进行数据窃取。