安卓银行木马又进化了,这次叫Perseus,直接把目标瞄准了用户手机里的笔记应用。
ThreatFabric 3月19日刚放出的报告显示,这种新家族已经在野外活跃,主要干两件事:接管设备做金融诈骗,还有就是专门监控笔记类App来扒高价值信息。简单讲,你平时随手记的银行卡号、种子短语、甚至老婆的生日密码,很可能正被它一字不落打包发给黑产。
Perseus的代码底子来自Cerberus和Phoenix两大老牌家族。Cerberus 2019年就被曝光,靠滥用Accessibility服务偷权限、叠假界面骗输入,后来源代码2020年泄露,衍生出一堆变种:Alien、ERMAC、Phoenix。现在Perseus站在Phoenix肩膀上,继续升级,灵活度更高。研究人员甚至在代码里看到大量emoji和冗长日志,高度怀疑黑客用了大模型辅助写恶意代码。
传播方式很狡猾。Perseus伪装成IPTV应用,典型名字有Roja App Directa(包名com.xcvuc.ocnsxn)、TvTApp(com.tvtapps.live)、PolBox Tv(com.streamview.players)。用户想看免费付费频道,就去钓鱼网站侧载这些“神器”,结果直接中招。重点针对土耳其、意大利,还波及波兰、德国、法国、阿联酋、葡萄牙。
感染后套路老三样:叠假界面骗银行App和加密货币钱包的账号密码,实时键盘记录,C2面板远程发指令。真正狠的地方在于它新增了scan_notes功能,能直接读取Google Keep、Xiaomi Notes、Samsung Notes、ColorNote、Evernote、Simple Notes Pro、Microsoft OneNote等主流笔记软件的内容。注意它甚至把OneNote的包名写错了,用了com.microsoft.onenote而不是正确的com.microsoft.office.onenote,说明开发时有点粗糙,但功能照样致命。
远程控制能力也全面升级。start_vnc能近实时传输受害者屏幕,start_hvnc则是把UI层级结构化发过去,让黑客程序化操作界面。想点哪里就click_coord发坐标,想黑屏就action_blackscreen,想静音就nighty。甚至还能强制开启未知来源安装、启动任意App、截屏、解除应用黑名单。
反检测做得更细。Perseus会检查有没有Frida、Xposed这些调试工具,数一数手机装了多少App(太少就可疑),看电池数值对不对,还确认有没有插SIM卡。最后把所有信息打个“可疑分数”发给C2,由操盘手决定是继续偷还是先撤。
当前市场一片血海,BTC现报$69,385(24h -4.19%),ETH现报$2,123(24h -5.19%),主流币集体下挫,用户本来就焦虑资产安全。这种时候跳出个专门读笔记的木马,等于在伤口上撒盐。不少人把助记词、API Key、甚至交易所2FA备份都存在笔记里图方便,结果成了黑客最直接的金矿。
安卓生态一直管不住侧载,Accessibility权限又被滥用到极致。Perseus证明了,即便Google不断收紧API,黑客总能找到新玩法。以前偷短信、偷验证码就够了,现在直接翻你备忘录,等于把最后一层隐私防线也撕掉。
国内用户看似离土耳其、意大利远,但侧载IPTV的习惯全球通用。尤其熊市里,大家更爱找免费工具省钱,恰恰给了这类木马可乘之机。别觉得没事就装个播放器,里面可能藏着能掏空你钱包的Perseus。
多检查权限,关掉没必要的Accessibility,别把敏感信息留在任何笔记软件里。熊市熬人,安全意识更得提起来。丢了本金可不是跌4%那么简单。