Un nuevo actor malicioso ha irrumpido en el ecosistema Android y, aunque su nombre —Perseus— pueda sonar a mitología, lo que hace es puramente tecnológico y preocupante: se trata de una familia de malware enfocada en apoderarse del dispositivo y robar información financiera y personal de alto valor. Investigadores en seguridad han documentado cómo esta amenaza reutiliza y perfecciona técnicas conocidas —heredadas de familias como Cerberus y Phoenix— para ofrecer a los atacantes control remoto casi total sobre teléfonos infectados.
Las señales que identifican a Perseus no surgen de la nada: su desarrollo se basa en códigos y métodos ya vistos en otros proyectos maliciosos, pero con mejoras destinadas a hacer el fraude más eficiente. Para entender su evolución basta leer el análisis técnico publicado por la empresa ThreatFabric, que explica con detalle cómo Perseus combina funciones de control remoto con capacidades de robo de credenciales y de extracción de notas almacenadas en aplicaciones comunes. Puedes consultar ese informe en el sitio de la empresa ThreatFabric, y revisar el historial de Cerberus en su archivo de investigación aquí.
La forma de distribución que han observado los analistas sigue una táctica conocida: aplicaciones “dropper” que se hacen pasar por servicios legítimos, en este caso principalmente plataformas IPTV que prometen contenido premium. Algunos usuarios que buscan aplicaciones fuera de las tiendas oficiales terminan instalando el dropper, y desde ahí se descarga la carga maliciosa que solicita permisos de accesibilidad y otras autorizaciones poderosas. Esta estrategia de engaño es efectiva porque se apoya en la normalidad del comportamiento del usuario: sideloading para ver contenido multimedia que no está en la tienda oficial.
Una vez dentro del dispositivo, Perseus emplea el servicio de accesibilidad de Android para orquestar dos tipos de ataque clave. Por un lado, lanza «overlays» o pantallas superpuestas que simulan interfaces de bancos o servicios de criptomoneda para capturar credenciales en el momento en que el usuario las introduce. Por otro, inicia sesiones remotas que permiten al atacante ver la pantalla en tiempo real y hasta interactuar con ella: encender o detener ese stream visual, tomar capturas, simular toques en coordenadas concretas, abrir aplicaciones o forzar instalaciones desde orígenes desconocidos. Además, el malware agrega una funcionalidad notable: la capacidad de examinar aplicaciones de notas como Google Keep o Evernote para extraer datos sensibles que los usuarios suelen guardar allí (contraseñas, claves, códigos, anotaciones financieras).
Las herramientas disponibles para el operador remoto no son accesorios: permiten desde iniciar una sesión VNC casi en tiempo real hasta enviar comandos que ocultan la actividad delictiva —por ejemplo, mostrar una pantalla en negro para que la víctima no vea lo que ocurre— o autorizar transacciones fraudulentas programáticamente. Estas acciones se controlan mediante un panel de mando (C2), lo que facilita que los ataques se automatizan y adapten a cada objetivo.
Perseus también ha demostrado un interés por evitar el análisis forense y los entornos de laboratorio: ejecuta comprobaciones para detectar frameworks de instrumentación como Frida o Xposed, comprueba la presencia de una tarjeta SIM, el número de aplicaciones instaladas y la carga de batería. Con esos indicadores, calcula una puntuación de “sospecha” que envía a su centro de control para decidir si procede con el robo de datos o si aborta la operación. Este enfoque reduce la exposición y mejora la eficacia del fraude.
Otra característica curiosa en el código es la presencia de trazas que sugieren que los desarrolladores pudieron haberse apoyado en modelos de lenguaje para acelerar partes del desarrollo, algo evidenciado por registros extensos en la app y pequeñas marcas estilísticas en el código fuente. La familia Phoenix ya se había documentado en análisis previos y existe discusión técnica sobre la evolución de estas familias; un análisis sobre Phoenix que ayuda a contextualizar esa evolución puede consultarse en la publicación Medium citada por analistas.
Los ataques reportados por ThreatFabric han tenido un enfoque geográfico: Turquía e Italia aparecen como objetivos prioritarios, aunque se han detectado campañas que afectaron a usuarios en Polonia, Alemania, Francia, Emiratos Árabes Unidos y Portugal. El patrón de distribución por aplicaciones IPTV permite a los atacantes mimetizarse dentro de un nicho de usuarios con mayor probabilidad de sideloading.
Si te preguntas cómo protegerte, hay medidas prácticas que reducen mucho el riesgo. En primer lugar, evita instalar aplicaciones desde fuentes no confiables; la instalación fuera de la tienda oficial es el vector más frecuente para este tipo de familias. Mantén el sistema operativo y las apps actualizadas, revisa los permisos que conceden acceso a servicios sensibles (especialmente el de accesibilidad) y activa mecanismos de protección adicionales como la verificación en dos pasos para tus cuentas bancarias y de correo. Google ofrece información sobre protección de aplicaciones y Play Protect en su centro de ayuda Play Protect, y la agencia nacional de ciberseguridad del Reino Unido publica recomendaciones prácticas sobre la seguridad en dispositivos móviles que pueden ser consultadas en el NCSC.
Si crees que tu teléfono ha sido comprometido por una amenaza semejante, lo más seguro es cortar el acceso del atacante lo antes posible: desconectar servicios, revocar permisos desde ajustes, ejecutar un escaneo con una solución antimalware reconocida y, si persisten signos de control remoto, respaldar los datos y realizar un restablecimiento de fábrica. También conviene notificar al banco o proveedor financiero y cambiar contraseñas desde un dispositivo limpio. Para mejorar la higiene digital a largo plazo, recursos como el proyecto OWASP ofrecen guías sobre seguridad móvil que ayudan a entender amenazas comunes y buenas prácticas: OWASP Mobile.
Perseus no inventa ataques completamente nuevos, pero ilustra cómo los desarrolladores de malware combinan herramientas conocidas con mejoras tácticas para exprimir más valor del dispositivo infectado. La lección para los usuarios y las organizaciones es clara: las vulnerabilidades no solo están en el software, sino en los hábitos; reducir el riesgo depende tanto de controles técnicos como de decisiones cotidianas al instalar y conceder permisos a las aplicaciones.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...