Um novo ator malicioso invadiu o ecossistema Android e, embora seu nome – Perseus – possa soar à mitologia, o que faz é puramente tecnológico e preocupante: trata-se de uma família de malware focada em apoderar-se do dispositivo e roubar informações financeiras e pessoais de alto valor. Pesquisadores em segurança documentaram como esta ameaça reutiliza e aperfeiçoa técnicas conhecidas —heredadas de famílias como Cerberus e Phoenix — para oferecer aos atacantes controle remoto quase total sobre telefones infectados.
Os sinais que identificam Perseus não surgem do nada: seu desenvolvimento baseia-se em códigos e métodos já vistos em outros projetos maliciosos, mas com melhorias destinadas a fazer a fraude mais eficiente. Para entender a sua evolução, basta ler a análise técnica publicada pela empresa ThreatFabric, que explica detalhadamente como Perseus combina funções de controle remoto com capacidades de roubo de credenciais e de extração de notas armazenadas em aplicações comuns. Você pode consultar esse relatório no site da empresa ThreatFabric, e rever o histórico do Cerberus no seu ficheiro de pesquisa aqui.
A forma de distribuição que os analistas observaram segue uma tática conhecida: aplicações “dropper” que se fazem passar por serviços legítimos, neste caso principalmente plataformas IPTV que prometem conteúdo premium. Alguns usuários que buscam aplicativos fora das lojas oficiais acabam instalando o dropper, e daí a carga maliciosa que solicita permissões de acessibilidade e outras autorizações poderosas. Esta estratégia de engano é eficaz porque se apoia na normalidade do comportamento do usuário: sideloading para ver conteúdo multimídia que não está na loja oficial.
Uma vez dentro do dispositivo, Perseus emprega o serviço de acessibilidade do Android para orquestrar dois tipos de ataque chave. Por um lado, lança "overlays" ou telas sobrepostas que simulam interfaces de bancos ou serviços de criptomoeda para capturar credenciais no momento em que o usuário as introduz. Por outro lado, inicia sessões remotas que permitem ao atacante ver a tela em tempo real e até interagir com ela: acender ou deter esse stream visual, capturar, simular toques em coordenadas concretas, abrir aplicações ou forçar instalações de origem desconhecidas. Além disso, o malware adiciona uma funcionalidade notável: a capacidade de examinar aplicações de notas Como o Google Keep ou o Evernote para extrair dados sensíveis que os usuários costumam guardar ali (contranhas, chaves, códigos, anotações financeiras).
As ferramentas disponíveis para o operador remoto não são acessórios: permitem desde iniciar uma sessão VNC quase em tempo real até enviar comandos que ocultam a atividade criminosa - por exemplo, mostrar uma tela preta para que a vítima não veja o que acontece - ou autorizar transações fraudulentas programáticamente. Essas ações são controladas por um painel de comando (C2), o que facilita que os ataques sejam automatizados e adaptados a cada objetivo.
Perseus também demonstrou interesse em evitar a análise forense e os ambientes laboratoriais: executa verificações para detectar frameworks de instrumentação como Frida ou Xposed, comprova a presença de um cartão SIM, o número de aplicações instaladas e a carga de bateria. Com esses indicadores, calcula uma pontuação de “suspeta” que envia ao seu centro de controle para decidir se procede com o roubo de dados ou se aborta a operação. Esta abordagem reduz a exposição e melhora a eficácia da fraude.
Outra característica curiosa no código é a presença de traços que sugerem que os desenvolvedores puderam ter se apoiado em modelos de linguagem para acelerar partes do desenvolvimento, algo evidenciado por registros extensos na app e pequenas marcas estilísticas no código fonte. A família Phoenix já havia sido documentada em análises anteriores e existe discussão técnica sobre a evolução dessas famílias; uma análise sobre Phoenix que ajuda a contextualizar essa evolução pode ser consultada na publicação Medium citada por analistas.
Os ataques relatados pela ThreatFabric tiveram uma abordagem geográfica: a Turquia e a Itália aparecem como objetivos prioritários, embora tenham sido detectadas campanhas que afectaram usuários na Polónia, Alemanha, França, Emirados Árabes Unidos e Portugal. O padrão de distribuição por aplicativos IPTV permite aos atacantes mimetizar-se dentro de um nicho de usuários com maior probabilidade de sideloading.
Se você perguntas se proteger, há medidas práticas que reduzem muito o risco. Em primeiro lugar, evita instalar aplicativos de fontes não confiáveis; a instalação fora da loja oficial é o vetor mais frequente para este tipo de famílias. Mantenha o sistema operacional e os apps atualizados, veja as permissões que concedem acesso a serviços sensíveis (especialmente o de acessibilidade) e ativa mecanismos de proteção adicionais como a verificação em duas etapas para suas contas bancárias e correio. Google fornece informações sobre proteção de aplicativos e Play Protect em seu centro de ajuda Play Protect, e a agência nacional de cibersegurança do Reino Unido publica recomendações práticas sobre a segurança em dispositivos móveis que podem ser consultadas no NCSC.
Se você acredita que o seu telefone foi comprometido por uma ameaça semelhante, o mais seguro é cortar o acesso do atacante o mais rapidamente possível: desligar serviços, revogar permissões de ajustes, executar uma digitalização com uma solução antimalware reconhecida e, se persistirem sinais de controle remoto, apoiar os dados e realizar um restabelecimento da fábrica. Também convém notificar o banco ou fornecedor financeiro e mudar senhas de um dispositivo limpo. Para melhorar a higiene digital a longo prazo, recursos como o projeto OWASP oferecem guias de segurança móveis que ajudam a entender ameaças comuns e boas práticas: OWASP Mobile.
Perseus não inventa ataques completamente novos, mas ilustra como os desenvolvedores de malware combinam ferramentas conhecidas com melhorias táticas para expressar mais valor do dispositivo infectado. A lição para os usuários e organizações é clara: As vulnerabilidades não estão apenas no software, mas nos hábitos; reduzir o risco depende tanto de controles técnicos como de decisões cotidianas ao instalar e conceder permissões às aplicações.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...