Nowy malware bankowy Perseus na Androida monitoruje aplikacje notatek, aby wydobyć poufne dane

Świat mobilnego bankingu nigdy nie był bezpieczny, ale to, co odkryli badacze bezpieczeństwa z firmy Cleafy, zmienia perspektywę na skalę zagrożenia. Perseus — nowa rodzina złośliwego oprogramowania na Androida — to nie zwykły trojan bankowy. To ewolucja wcześniejszych zagrożeń, która łączy funkcjonalność swoich poprzedników (Cerberus i Phoenix) z całkowicie nowymi możliwościami monitorowania danych wrażliwych użytkownika. Co najgorsze? Malware aktywnie rozprzestrzenia się w dzikiej przyrodzie, a jego twórcy ciągle dodają nowe funkcje.

Szczególnie niepokojące jest to, że Perseus nie ogranicza się do tradycyjnych ataków na aplikacje bankowe. Zamiast tego monitoruje aplikacje do notatek, przechowując tam użytkownicy hasła, kody dostępu, numery identyfikacyjne i inne dane wrażliwe. To świadczy o zmianie taktyki cyberprzestępców — zamiast atakować bezpośrednio aplikacje finansowe, skoncentrowali się na zbieraniu informacji, które mogą być wykorzystane do przejęcia kont bankowych lub kradzieży tożsamości.

W Polsce, gdzie mobilny banking stał się standardem, a ponad 70% użytkowników smartfonów korzysta z aplikacji bankowych, zagrożenie takie jak Perseus stanowi realny problem. Polska Izba Banków i Związek Banków Polskich od lat ostrzegają przed rosnącą falą cyberataków na urządzenia mobilne, ale Perseus reprezentuje nowy poziom zaawansowania i elastyczności ataku.

Jak Perseus różni się od poprzedników — ewolucja, a nie rewolucja

Aby zrozumieć, dlaczego Perseus stanowi szczególne zagrożenie, warto przyjrzeć się jego genealogii. Cerberus, którego kod został wyciekł w 2020 roku, był bankowym trojaniem skoncentrowanym na przejęciu dostępu do aplikacji finansowych poprzez fałszywe ekrany logowania i przechwytywanie SMS-ów. Phoenix poszedł dalej, dodając funkcje zarządzania urządzeniem i możliwość ukrywania się przed systemem. Perseus łączy te możliwości, ale robi coś fundamentalnie innego.

Zamiast atakować bezpośrednio aplikacje bankowe, Perseus działa bardziej dyskretnie. Jego głównym celem jest monitorowanie aplikacji do notatek — zarówno wbudowanych w system Android, jak i popularnych aplikacji trzecich, takich jak Google Keep, Microsoft OneNote czy Notion. Badacze z Cleafy odkryli, że Perseus skanuje zawartość tych aplikacji w poszukiwaniu wzorców, które mogą wskazywać na wrażliwe dane: numery PIN-ów, hasła, numery dokumentów tożsamości, a nawet numery kart kredytowych.

To zmiana paradygmatu w atakach na urządzenia mobilne. Tradycyjne trojany bankowe skupiały się na kradzieży haseł w momencie ich wprowadzania. Perseus natomiast czeka na to, że użytkownik sam przechowuje swoje dane w aplikacjach, które uznaje za bezpieczne. Według raportu Cleafy, malware może również monitorować schowek (clipboard) urządzenia, co oznacza, że może przechwycić dane skopiowane z jakiejkolwiek aplikacji.

Architektura Perseus jest również bardziej modularna niż jego poprzednicy. Zamiast być monolitycznym trojananem, Perseus działa jako platforma, do której można dodawać nowe moduły funkcjonalności. Cyberprzestępcy mogą łatwo dostosowywać go do konkretnych celów — dla jednego ataku mogą dodać moduł do monitorowania notatek, dla innego — moduł do przechwytywania danych z aplikacji komunikacyjnych.

Droga do zainfekowania — aplikacje-trojan konie

Perseus rozprzestrzenia się poprzez aplikacje-dropper, czyli fałszywe lub zainfekowane aplikacje dostępne na nieoficjalnych sklepach z aplikacjami, w piratskich stronach lub rozpowszechniane poprzez SMS-y z pozorem wiadomości od banków. Badacze Cleafy zaobserwowali, że Perseus jest rozpowszechniany poprzez aplikacje pozujące na legalne narzędzia — menedżery plików, aplikacje do edycji zdjęć, czy nawet gry.

Szczególnie zaskakujące jest to, że część wariantów Perseus była rozpowszechniana poprzez oficjalny Google Play Store, choć Google szybko usuwał je po wykryciu. To pokazuje, że nawet Google Play Store, który ma znacznie lepsze mechanizmy kontroli niż nieoficjalne sklepy, nie jest w stanie w 100% uchronić użytkowników przed złośliwym oprogramowaniem.

Mechanizm infekcji jest zawiły. Aplikacja-dropper nie zawiera od razu pełny kod Perseus — zamiast tego pobiera go w postaci zakodowanej z serwerów kontrolowanych przez atakujących. To technika znana jako staged malware delivery, która utrudnia analizę zagrożenia i umożliwia atakującym szybkie aktualizacje malware bez konieczności ponownego przesyłania aplikacji przez sklepy z aplikacjami.

Dla polskich użytkowników szczególnie niebezpieczne są warianty Perseus rozpowszechniane poprzez SMS-y pozujące na wiadomości od popularnych polskich banków. Wiadomość mogą brzmieć jak "Aktualizacja bezpieczeństwa — pobierz aplikację ze strony [fałszywa domena]". Użytkownicy, którzy nie są zaznajomieni z tym, że banki nigdy nie wysyłają linków do pobrania aplikacji SMS-ami, mogą łatwo się na to nabrać.

Monitorowanie notatek — nowy wymiar kradzieży tożsamości

Najbardziej intrygującą cechą Perseus jest jego zdolność do monitorowania aplikacji do notatek. To może brzmieć jak mały szczegół, ale w rzeczywistości jest to zmiana fundamentalna w sposobie myślenia cyberprzestępców o kradzieży danych.

Przez lata bezpieczeństwo mobilne skupiało się na ochronie przed atakami na aplikacje bankowe — dwuetapowa autentykacja, biometria, szyfrowanie połączeń. Ale okazuje się, że cyberprzestępcy odkryli, że użytkownicy sami przechowują swoje dane wrażliwe w miejscach, które nie są chronione tak samo. Aplikacje do notatek zazwyczaj mają słabszą autentykację niż aplikacje bankowe, a ich szyfrowanie (jeśli w ogóle istnieje) jest często opcjonalne.

Perseus monitoruje te aplikacje w poszukiwaniu konkretnych wzorców. Na przykład, może szukać ciągów znaków, które wyglądają jak numery PIN (4-6 cyfr), hasła (kombinacje liter, cyfr i symboli), czy numery dokumentów (specjalne formaty dla różnych krajów). Gdy znajdzie coś, co pasuje do wzorca, przesyła to na serwery atakujących.

Co jeszcze bardziej niepokojące — Perseus może również monitorować schowek urządzenia. Jeśli użytkownik skopiuje hasło z aplikacji do notatek i wklei je w aplikacji bankowej, Perseus przechwyci to hasło w momencie, gdy przechodzi przez schowek. To technika znana od lat, ale jej połączenie z monitorowaniem notatek tworzy nową warstwę zagrożenia.

Przejęcie urządzenia — od kradzieży danych do pełnej kontroli

Perseus to nie tylko trojan bankowy — to narzędzie do przejęcia urządzenia (device takeover, DTO). To oznacza, że atakujący mogą uzyskać pełną kontrolę nad smartfonem, w tym dostęp do aparatu, mikrofonu, lokalizacji i wszystkich aplikacji zainstalowanych na urządzeniu.

Badacze Cleafy odkryli, że Perseus może żądać bardzo szerokich uprawnień od systemu Android, a następnie je aktywować nawet jeśli użytkownik je odrzucił. To możliwe dzięki wykorzystaniu luk w systemie Android, które nie zostały jeszcze zalatane. Atakujący mogą więc uzyskać dostęp do aplikacji bankowych i zalogować się na konto użytkownika bez konieczności znania hasła — wystarczy im dostęp do telefonu i aplikacji bankowej.

Ponadto Perseus może symulować kliknięcia użytkownika na ekranie, co oznacza, że może automatycznie zatwierdzać transakcje bankowe, przesyłać pieniądze lub zmieniać ustawienia bezpieczeństwa konta. To technika znana jako overlay attacks — malware wyświetla fałszywy ekran na górze prawdziwej aplikacji, aby zmylić użytkownika, a jednocześnie może symulować jego kliknięcia.

Dla banków i instytucji finansowych to stanowi ogromny problem. Tradycyjne metody ochrony, takie jak SMS-y z kodami potwierdzającymi transakcje, mogą być obejścia przez Perseus, który ma dostęp do SMS-ów na urządzeniu. Niektóre banki przeszły na push notyfikacje zamiast SMS-ów, ale Perseus może również monitorować te powiadomienia.

Polska w celowniku — lokalna adaptacja zagrożenia

Polska jest szczególnie interesującą tarczą dla twórców Perseus z kilku powodów. Po pierwsze, polskie banki są zaawansowane technologicznie — większość oferuje aplikacje mobilne z zaawansowanymi funkcjami bezpieczeństwa. Po drugie, polskie społeczeństwo jest dość aktywne w korzystaniu z bankowości mobilnej, co oznacza, że potencjalna skala ataku jest duża.

Badacze bezpieczeństwa zauważyli, że warianty Perseus rozpowszechniane w Polsce są specjalnie dostosowane do polskiego rynku. Zawierają one listy polskich banków, których aplikacje są monitorowane w szczególny sposób. Obejmują to PKO BP, mBank, Santander, ING, Alior Bank i inne instytucje finansowe.

Ponadto, twórcy Perseus dodali do niego funkcje specyficzne dla Polski — na przykład monitorowanie aplikacji do podatków (Twój e-PIT), aplikacji do ubezpieczeń społecznych (PUE ZUS) i innych serwisów publicznych. To sugeruje, że atakujący nie tylko chcą skraść pieniądze z kont bankowych, ale również chcą uzyskać dostęp do danych osobowych i informacji podatkowych polskich użytkowników.

Polska Izba Banków wydała już ostrzeżenia dla swoich członków o Perseus, a CERT.PL (polski zespół reagowania na incydenty bezpieczeństwa) opublikował szczegółowe informacje o tym, jak rozpoznać i usunąć malware. Jednak zdolność Perseus do ukrywania się i jego modularna architektura oznaczają, że tradycyjne metody usuwania złośliwego oprogramowania mogą nie być wystarczające.

Bezpieczeństwo czy paranoja — jak chronić się przed Perseus

Ochrona przed Perseus wymaga wielowarstwowego podejścia, które idzie poza tradycyjne antywirus. Po pierwsze, użytkownicy powinni pobierać aplikacje wyłącznie z oficjalnego Google Play Store i unikać nieoficjalnych sklepów. Po drugie, powinni być ostrożni wobec SMS-ów zawierających linki do pobrania aplikacji — żaden bank nigdy nie wyśle takiej wiadomości.

Jednak nawet pobieranie z Google Play Store nie gwarantuje bezpieczeństwa, jak pokazał przypadek Perseus. Dlatego ważne jest również monitorowanie uprawnień, które aplikacje żądają. Jeśli aplikacja do edycji zdjęć żąda dostępu do SMS-ów, kontaktów i lokalizacji — to wyraźny sygnał ostrzegawczy. Użytkownicy powinni regularnie sprawdzać, jakie uprawnienia mają zainstalowane aplikacje.

Banki z kolei powinny wdrażać zaawansowane systemy detekcji anomalii, które mogą rozpoznać, gdy logowanie do konta odbywa się z innego urządzenia lub lokalizacji niż zwykle. Powinny również implementować step-up authentication — dodatkowe weryfikacje dla transakcji o wysokiej wartości, nawet jeśli użytkownik jest już zalogowany.

Dla bardziej zaawansowanych użytkowników rekomendacją jest używanie dedykowanego urządzenia do bankowości mobilnej — starego smartfona, na którym zainstalowana jest wyłącznie aplikacja bankowa i nic więcej. To może brzmieć jak przesada, ale dla osób z dużymi oszczędnościami może być to uzasadnione.

Przyszłość trojana — Perseus jako szablon dla nowych zagrożeń

Perseus nie będzie ostatnim trojananem tego typu. Jego modułowa architektura i elastyczne podejście do kradzieży danych stanowią szablon dla nowych zagrożeń. Cyberprzestępcy będą prawdopodobnie adaptować kod Perseus do innych celów — monitorowania aplikacji komunikacyjnych (Telegram, Signal), aplikacji do zarządzania pieniędzmi (Wise, Revolut), czy nawet aplikacji do handlu kryptowalutami.

Szczególnie niepokojące jest to, że Perseus jest rozpowszechniany przez zorganizowane grupy cyberprzestępców, a nie pojedynczych hakerów. To oznacza, że malware będzie aktywnie utrzymywany, aktualizowany i dostosowywany do nowych wyzwań bezpieczeństwa. Gdy Google czy Apple zamkną jedno wektora ataku, atakujący szybko znajdą inny.

Dla branży bezpieczeństwa mobilnego Perseus jest sygnałem ostrzegawczym. Tradycyjne podejście do ochrony — skupiające się na aplikacjach bankowych — jest już niewystarczające. Potrzebne jest bardziej holistyczne podejście, które chroni wszystkie aplikacje i dane na urządzeniu, nie tylko te związane z finansami. To oznacza inwestycje w zaawansowaną detekcję anomalii, sandboxing aplikacji i bardziej granularne systemy uprawnień.

Jednocześnie, Perseus pokazuje, że cyberprzestępcy są zadziwiająco kreatywni w swoich atakach. Zamiast atakować bezpośrednio — co jest trudne ze względu na zaawansowane zabezpieczenia — atakują pośrednio, poprzez aplikacje, które użytkownicy sami uważają za bezpieczne. To lekcja dla wszystkich — w cyberbezpieczeństwie nie ma absolutnej pewności, a każda aplikacja na urządzeniu jest potencjalnym wektorem ataku.