perseus-malware - RunkIntel

# Perseus > [!danger] Resumo > Malware bancário Android de nova geração que evolui da linhagem [[cerberus-malware|Cerberus]]/Phoenix, oferecendo device takeover (DTO) completo via VNC/HVNC, ataques de overlay e uma capacidade inédita de escanear aplicativos de notas para extrair senhas e frases de recuperação de criptomoedas. ## Visão Geral O [[perseus-malware|Perseus]] é um trojan bancário Android descoberto pela [[threatfabric|ThreatFabric]] em março de 2026, representando a mais recente evolução da prolífica linhagem [[cerberus-malware|Cerberus]] → Phoenix. Distribuído ativamente via apps dropper disfarçados de serviços IPTV (streaming), o malware combina funcionalidades comprovadas de seus predecessores com inovações como **escaneamento de aplicativos de notas** para extrair dados sensíveis. O Perseus herda a estrutura de classes, convenções de nomenclatura e features core do Phoenix (overlay, acessibilidade, keylogging) mas adiciona uma plataforma mais flexível e capaz, incluindo monitoramento de notas em Google Keep, Samsung Notes, Evernote e Microsoft OneNote. Artefatos no código - como logging extensivo, emojis e debugging - sugerem possível assistência de LLM no desenvolvimento. Variantes incluem branches em inglês (debug-heavy) e turco (discreto), com infraestrutura compartilhada com [[hook-malware|Medusa]] e Klopatra. Os alvos principais são usuários na Turquia, Itália, Polônia, Alemanha, França, Emirados Árabes e Portugal. ## Capacidades Técnicas - **VNC/HVNC streaming**: `start_vnc` captura screenshots em Base64 JPEGs; `start_hvnc` envia hierarquia `AccessibilityNodeInfo` em JSON para interação programática - **Manipulação de UI**: `click_coord`, `action_click`, `action_long_click`, `swipe_up`, `action_custom_gesture`, `global_action_back/home/recents` para simulação de interações - **Escaneamento de notas**: `scan_notes` - extrai conteúdo do Google Keep, Samsung Notes, Evernote, Microsoft OneNote buscando senhas, frases de recuperação e dados financeiros - **Overlay attacks**: Telas falsas sobre aplicativos bancários e financeiros para captura de credenciais - **Keylogging**: Captura contínua via Accessibility Services - **Stealth**: `action_blackscreen` oculta operações; `nighty` silencia áudio do dispositivo - **Desbloqueio**: `unlock_pin` tenta PIN unlock; `get_unlockpass` intercepta credenciais de desbloqueio - **Sideload forçado**: `install_from_unknown` força habilitação de instalação de fontes desconhecidas - **Anti-análise**: Detecta Frida, Xposed, root, emuladores, SIM ausente, contagem baixa de apps, anomalias de bateria - computa score de suspeita enviado ao C2 ## Táticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Execução | [[t1204-002-malicious-file\|T1204.002]] | Dropper apps disfarçados de serviços IPTV | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging contínuo via Accessibility | | Coleta | [[t1005-data-from-local-system\|T1005]] | Escaneamento de apps de notas para senhas e recovery phrases | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Ofuscação e anti-análise (Frida, Xposed, emulador) | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTP/HTTPS com painel C2 | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Coleta de informações do dispositivo e score de suspeita | | Evasão | [[t1055-process-injection\|T1055]] | Overlay injection em apps legítimos | | Acesso a Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Overlay attacks para roubo de credenciais | ## Cadeia de Infecção 1. **Distribuição**: Sites de phishing promovendo apps IPTV premium para sideloading 2. **Dropper**: Apps trojanizados (ex: Rojá App Directa, TvTApp, PolBox Tv) bypassam restrições do Android 13+ 3. **Instalação**: App solicita permissões de acessibilidade 4. **Registro**: Dispositivo registrado no painel C2 com informações do sistema e score de suspeita 5. **Configuração**: C2 envia lista de apps-alvo e overlays 6. **Monitoramento**: Accessibility Service monitora apps abertos e escaneia apps de notas 7. **Overlay/Keylogging**: Telas falsas injetadas sobre apps bancários; keylogging contínuo 8. **VNC/HVNC**: Operador inicia sessão remota para device takeover completo 9. **Fraude**: Execução de transações bancárias ou roubo de crypto via frases de recuperação ## Atores Associados O Perseus é distribuído como **Malware-as-a-Service** com múltiplos operadores. Compartilha infraestrutura com Medusa e Klopatra. A linhagem [[cerberus-malware|Cerberus]] → Phoenix → Perseus representa uma evolução contínua de uma das famílias de malware móvel mais prolíficas. ## Apps Dropper Conhecidos | Nome | Package | |------|---------| | Rojá App Directa | `com.xcvuc.ocnsxn` | | TvTApp | `com.tvtapps.live` | | PolBox Tv | `com.streamview.players` | ## Países-Alvo Turquia, Itália, Polônia, Alemanha, França, Emirados Árabes Unidos, Portugal. ## Indicadores de Comprometimento (IoCs) IoCs específicos são dinâmicos por campanha MaaS. A detecção recomendada inclui: - Monitoramento de permissões de acessibilidade em apps IPTV/streaming - Detecção de packages conhecidos: `com.xcvuc.ocnsxn`, `com.tvtapps.live`, `com.streamview.players` - Análise comportamental de acesso a apps de notas por processos não autorizados Consulte relatório da [[threatfabric|ThreatFabric]] para IoCs atualizados. ## Detecção - Monitorar apps Android que solicitam permissões de Accessibility Services sem justificativa funcional clara ([[t1204-002-malicious-file|T1204.002]]) - Detectar apps instalados de fora da Play Store (sideloading) em dispositivos corporativos gerenciados por MDM - Alertar para acesso de apps desconhecidos a apps de notas (Google Keep, Samsung Notes, Evernote, OneNote) ([[t1005-data-from-local-system|T1005]]) - Usar soluções MTD (Mobile Threat Defense) com análise comportamental para detectar VNC/HVNC e overlay attacks - Bloquear packages conhecidos: `com.xcvuc.ocnsxn`, `com.tvtapps.live`, `com.streamview.players` ## Relevância LATAM/Brasil O [[perseus-malware|Perseus]] é altamente relevante para o Brasil e a América Latina. O país possui um dos maiores volumes de transações bancárias móveis do mundo, com aplicativos de bancos como Nubank, Itaú, Bradesco e Caixa entre os mais usados em dispositivos Android. A distribuição via apps IPTV piratas é especialmente eficaz no contexto brasileiro, onde serviços IPTV não-oficiais têm penetração massiva. A linhagem Cerberus/Phoenix que originou o Perseus já foi documentada em campanhas direcionadas a usuários brasileiros, e a evolução para Perseus representa uma ameaça crescente ao ecossistema financeiro móvel do país. ## Referências - [ThreatFabric - Perseus: DTO Malware That Takes Notes](https://www.threatfabric.com/blogs/perseus-dto-malware-that-takes-notes) - [The Hacker News - New Perseus Android Banking Malware](https://thehackernews.com/2026/03/new-perseus-android-banking-malware.html) - [Broadcom - Perseus Mobile Malware Protection Bulletin](https://www.broadcom.com/support/security-center/protection-bulletin/perseus-mobile-malware) - [SC World - Perseus Android Malware Evolves from Cerberus/Phoenix](https://www.scworld.com/brief/perseus-android-malware-evolves-from-cerberus-and-phoenix-for-device-takeover)