Perseus: хакерите вече не търсят пароли – а четат личните ти бележки

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Нов Android зловреден софтуер, известен като Perseus, бележи поредна еволюция в мобилните заплахи, като променя фокуса си от класическата кражба на идентификационни данни към по-дълбок достъп до личния контекст на потребителя. Зловредният код се разпространява основно чрез неофициални приложения за IPTV, маскирани като услуги за стрийминг на спортно съдържание.

Този подход не е случаен. Потребителите, които търсят безплатен или евтин достъп до платено съдържание, често пренебрегват основни предупреждения за сигурност, включително инсталиране на APK файлове извън официалния магазин Google Play. Именно тази поведенческа слабост се превръща в основен вектор за атака.

Пълен контрол чрез Accessibility Services и напреднали техники за дистанционно управление

След успешна инфекция Perseus използва Android Accessibility Services, за да предостави на атакуващите почти пълен контрол над устройството. Сред основните възможности са:

  • Непрекъснато заснемане на екрана и стрийминг към атакуващия

  • Симулиране на действия – докосвания, въвеждане на текст, навигация

  • Стартиране и блокиране на приложения

  • Overlay атаки и кейлогинг

  • Скриване на злонамерена активност чрез черен екран

Тези функции превръщат заразеното устройство в напълно дистанционно управляема платформа, сравнима с десктоп троянци от висок клас.

Нова цел: личните бележки като златна мина за чувствителна информация

Най-отличителната характеристика на Perseus е неговият фокус върху приложения за водене на бележки. За първи път се наблюдава Android зловреден софтуер, който систематично отваря и анализира съдържанието на лични бележки, включително:

  • Google Keep

  • Samsung Notes

  • Xiaomi Notes

  • Evernote

  • Microsoft OneNote

  • ColorNote и други

Тази стратегия показва съществена промяна в мисленето на атакуващите – вместо да разчитат само на прихващане на пароли, те търсят контекстуална информация, която потребителите често съхраняват неструктурирано: пароли, seed фрази за крипто портфейли, финансови данни или лични записки.

Географски фокус и финансови цели

Анализите показват, че Perseus е насочен основно към:

  • Турция – 17 финансови институции

  • Италия – 15

  • Полша, Германия и Франция в по-малка степен

  • Крипто услуги – поне 9 приложения

Това ясно позиционира заплахата като финансово мотивирана, с потенциал за сериозни щети както за крайни потребители, така и за институции.

Техническа еволюция: наследство от Cerberus и вероятно използване на ИИ

Perseus не се появява от нищото. Той стъпва върху кодова база, свързана с:

  • Cerberus (изтекъл преди години банков троянец)

  • Phoenix (надграждаща версия)

Освен това, изследователите отбелязват, че английската версия на зловредния код съдържа разширено логване и дори емоджита в кода, което е силен индикатор за използване на ИИ инструменти при разработката.

Това е част от по-широка тенденция – индустриализация на киберпрестъпността чрез автоматизация и ИИ, което прави атаките по-бързи, адаптивни и трудни за откриване.

Заобикаляне на защити и интелигентна селекция на жертвите

Perseus използва сложни техники за избягване на анализ, включително проверка на:

  • root статус

  • емулаторни среди

  • SIM данни

  • хардуерен профил

  • наличие на Google Play Services

На база на тези фактори се изчислява „индекс на подозрение“, който се изпраща към командния сървър. Атакуващият решава дали да продължи с атаката, което намалява риска от разкриване.

Hова фаза в мобилните заплахи

Perseus ясно показва, че киберпрестъпниците вече не се ограничават до директно „хакване“ – те анализират поведението и навиците на потребителите, за да извлекат максимална стойност от компрометираните устройства.

Преходът към таргетиране на лични бележки е сигнал за по-дълбока и по-интелигентна експлоатация на човешкия фактор, което прави традиционните защитни механизми все по-недостатъчни.

Как да се предпазим

  • Избягвайте инсталиране на APK файлове от неофициални източници

  • Използвайте само приложения от Google Play

  • Активирайте и редовно проверявайте Google Play Protect

  • Не съхранявайте чувствителна информация в plain text бележки

#Android зловреден софтуер, # IPTV заплахи, # Perseus, # киберсигурност, # мобилни атаки
e-security.bg

Подобни

Китайска APT група е шпионирала Microsoft 365 среди повече от 18 месеца
8.06.2026
china_TY_Lim_shutterstock
IronWorm: нова supply-chain атака в npm
5.06.2026
npm
HTTP/2 Bomb: DoS атака може да срине сървъри за секунди
5.06.2026
cyber-security-3480163_960_720
Китайска ATP атаките си към ЕС с нов зловреден софтуер и Atlas RAT
4.06.2026
china
ИИ ускорява разработката на рансъмуер
4.06.2026
ransomware-Zoonar_GmbH-alamy
DriveSurge компрометира хиляди сайтове чрез ClickFix и FakeUpdates
3.06.2026
geralt-digitization-5194814_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy