Исследователи обнаружили вредоносную программу Perseus, которая работает нестандартно и нацелена на содержимое заметок в смартфонах на ОС Android. Она ищет пароли, финансовые данные и сид-фразы. В результате обычные записи пользователя превращаются в источник утечек.
Аналитики ThreatFabric описывают Perseus как серьёзное развитие мобильных угроз. Раньше такие программы в основном охотились за банковскими приложениями или перехватывали сообщения. Теперь внимание сместилось на то, что пользователи сами записывают и хранят в заметках.
Распространение происходит вне официальных магазинов. Вредоносный файл распространяется в формате APK через сторонние сайты и маскируется под приложения для просмотра IPTV. В качестве приманки используется, например, сервис Roja Directa TV, популярный среди любителей бесплатных трансляций. Расчёт на то, что пользователь уже привык устанавливать приложения вручную и не будет проверять их внимательно.
После установки программа запрашивает доступ к функциям специальных возможностей Android. Получив его, она фактически получает расширенный контроль над устройством. Зловред может делать снимки экрана, показывать свои окна поверх других приложений, имитировать действия пользователя, записывать ввод с клавиатуры и даже включать чёрный экран, чтобы скрыть свою работу.
Особенность Perseus — работа с заметками. Программа поочерёдно открывает приложения, где пользователь хранит записи, и просматривает их содержимое. Среди них — Google Keep, Samsung Notes, Evernote, Microsoft OneNote и другие популярные сервисы. Вредоносная программа ищет в тексте данные, которые можно использовать для кражи денег или доступа к аккаунтам.
Аналитики отмечают, что интерес злоумышленников меняется. Вместо обычных данных они ищут более ценные сведения. Это могут быть записанные вручную пароли, фразы для восстановления криптокошельков, банковские реквизиты и другая личная информация.