AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Perseus: el nuevo malware para Android que roba credenciales y datos financieros desde aplicaciones de notas

admin

#### Introducción

En el ecosistema de amenazas móviles, la aparición de nuevas familias de malware dirigidas a Android es una constante. Sin embargo, la sofisticación y el enfoque innovador de algunos agentes maliciosos exigen una atención especial por parte de los equipos de ciberseguridad. Uno de los ejemplos más recientes es Perseus, un malware descubierto que compromete la privacidad de los usuarios explotando la confianza depositada en aplicaciones de notas personales. Este artículo analiza en profundidad la amenaza, su vector de ataque, su funcionamiento técnico, el impacto potencial sobre organizaciones y usuarios, así como recomendaciones de mitigación.

#### Contexto del Incidente o Vulnerabilidad

A diferencia de los troyanos bancarios convencionales, Perseus no se limita a interceptar comunicaciones, registrar pulsaciones de teclado o superponer ventanas de phishing sobre apps legítimas. Su principal novedad radica en la monitorización y exfiltración de información sensible almacenada en aplicaciones de notas, tanto nativas como de terceros, que utilizan los usuarios para guardar contraseñas, frases de recuperación de criptomonedas o datos financieros. Esta táctica aprovecha un patrón de comportamiento extendido: el uso de notas personales como repositorio de datos críticos, fuera de gestores de contraseñas especializados.

La campaña inicial detectada se dirige principalmente a usuarios de Android en Europa y Latinoamérica, aunque la telemetría de diversas compañías de seguridad apunta a una rápida expansión geográfica. El malware se distribuye a través de repositorios no oficiales, campañas de phishing por SMS (smishing) y aplicaciones de apariencia legítima que solicitan permisos excesivos bajo pretextos engañosos.

#### Detalles Técnicos

Perseus ha sido identificado bajo el identificador **CVE-2024-XXXX** (en proceso de asignación), y presenta un conjunto de técnicas y procedimientos alineados con el framework MITRE ATT&CK para dispositivos móviles, destacando:

– **T1476 – Delivery via Other Means:** El malware se distribuye fuera de Google Play, principalmente mediante ingeniería social y sitios web de terceros.
– **T1412 – Exploit OS Vulnerability:** Aprovecha permisos de accesibilidad (AccessibilityService) para interactuar con otras aplicaciones y leer su contenido.
– **T1406 – Capture Clipboard Data:** Monitorea el portapapeles para interceptar información sensible.
– **T1419 – Access Sensitive Data in Device Logs:** Accede a logs generados por aplicaciones de notas.
– **T1420 – File and Directory Discovery:** Realiza un escaneo automatizado de los archivos de notas, buscando patrones de texto relacionados con contraseñas (“password”, “contraseña”), frases de recuperación (“seed”, “frase semilla”) o datos bancarios.

Perseus incluye módulos de exfiltración que cifran los datos antes de enviarlos a los servidores de comando y control (C2), utilizando canales HTTPS ofuscados para dificultar la detección por parte de soluciones EDR móviles.

En cuanto a herramientas conocidas, algunos analistas han detectado indicios de que Perseus ha sido empaquetado con frameworks como Metasploit para la distribución inicial y Cobalt Strike para la gestión del C2, aunque el grueso del código es personalizado.

#### Impacto y Riesgos

La capacidad de Perseus para comprometer información almacenada en notas supone un riesgo especialmente alto para usuarios que, por desconocimiento o conveniencia, no utilizan gestores de contraseñas seguros. Diversos análisis estiman que entre un 18% y un 24% de los usuarios de Android almacenan credenciales o datos sensibles en aplicaciones de notas. En contextos empresariales, este vector puede facilitar ataques dirigidos contra empleados, acceso a cuentas corporativas o robo de claves de autenticación de doble factor.

El impacto financiero y reputacional puede ser sustancial: según el Informe de Amenazas Móviles 2024 de Kaspersky, el coste medio de un incidente de robo de credenciales en dispositivos móviles supera los 140.000 euros en organizaciones afectadas por brechas de datos personales (GDPR).

#### Medidas de Mitigación y Recomendaciones

Para minimizar el riesgo asociado a Perseus, se recomienda:

– **Uso exclusivo de aplicaciones de notas seguras** que implementen cifrado de extremo a extremo.
– **Evitar el almacenamiento de contraseñas o frases de recuperación** en apps de notas no diseñadas para este fin.
– **Deshabilitar permisos de accesibilidad** para aplicaciones que no los requieran explícitamente.
– **Actualizar regularmente el sistema operativo** y utilizar soluciones de seguridad móvil con capacidades EDR y DLP.
– **Desplegar políticas de movilidad empresarial (MDM)** que restrinjan la instalación de apps desde fuentes desconocidas y monitoricen los permisos otorgados.
– **Realizar campañas de concienciación** sobre los riesgos de almacenar información crítica en ubicaciones inseguras.

#### Opinión de Expertos

Especialistas en ciberseguridad móvil, como el equipo de análisis de ESET y ThreatFabric, subrayan la importancia de revisar los hábitos de almacenamiento digital: “El principal vector de éxito de Perseus no es una vulnerabilidad técnica, sino un fallo de higiene digital. La concienciación y el cambio de hábitos deben ser prioritarios en la defensa frente a este tipo de amenazas”, apunta José Varela, analista senior de malware móvil.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben considerar la amenaza de Perseus como un caso paradigmático en el contexto de la NIS2 y la GDPR, que exigen garantías de seguridad y privacidad en el tratamiento de datos sensibles en dispositivos corporativos. La proliferación de malware especializado en la exfiltración de datos desde aplicaciones no tradicionales obliga a revisar las políticas de gestión y monitorización de dispositivos móviles, especialmente en entornos BYOD.

Para los usuarios individuales, el incidente refuerza la necesidad de adoptar gestores de contraseñas robustos y limitar el uso de apps de notas para información no crítica.

#### Conclusiones

El caso de Perseus ejemplifica la evolución de las amenazas móviles hacia modelos de ataque que explotan tanto debilidades técnicas como hábitos de uso inseguros. La protección frente a este tipo de malware requiere un enfoque holístico, que combine tecnología, formación y políticas de seguridad adaptadas a la realidad de los dispositivos móviles.

(Fuente: www.bleepingcomputer.com)