新規Androidバンキングマルウェア「Perseus」の詳細
サイバーセキュリティ研究者らは、新たなAndroidマルウェアファミリーであるPerseusが現実世界で活発に配布されていると報告しました。このマルウェアはデバイスを乗っ取り(DTO)し、金融詐欺を行うことを目的としています。
Perseusの特徴
Perseusは、CerberusやPhoenixという既存のマルウェアの基礎に築かれていますが、「より柔軟で能力のあるプラットフォーム」へと進化しています。このマルウェアは、フィッシングサイトを通じて配布されるドロッパーアプリを用いてAndroidデバイスを侵害します。
機能
Perseusは、アクセシビリティベースのリモートセッションを通じてリアルタイムで感染したデバイスを監視し、完全なデバイス乗っ取りとターゲット指向型攻撃を行います。特にトルコやイタリアに強い焦点を当てています。
データの盗難
Perseusは従来の資格情報窃取を超えて、ユーザーのメモアプリを監視することで高価値の個人的または金融情報を抽出することを目指しています。これにより、Google KeepやXiaomi Notes、Samsung Notesなどの主要なノートアプリからのデータが危険にさらされます。
拡散方法
- IPTVサービスとして偽装してユーザーをターゲットにする
Perseusは、ユーザーがプレミアムコンテンツを見るためにサイドロードするアプリを探している人々を標的とします。
サポートされるコマンド
- scan_notes: Google KeepやXiaomi Notesなどのノートアプリから内容をキャプチャ
- start_vnc: ユーザーのスクリーンの近似リアルタイムビジュアルストリームを開始
- stop_vnc: リモートセッションを停止
- start_hvnc: UI階層の構造化された表現を送信し、脅威アクターがUI要素とプログラム的に対話できるようにする
環境チェック
Perseusはデバッグツールや分析ツール(FridaやXposed)の存在を検出し、SIMカードの挿入状況、インストールされたアプリ数、バッテリー値などを確認します。
結論
ThreatFabricは、「PerseusはAndroidマルウェアの継続的な進化を示しており、現代の脅威が既存の家族(CerberusやPhoenix)に基づいて開発されつつあることを示しています」と述べています。
元記事: https://thehackernews.com/2026/03/new-perseus-android-banking-malware.html