Perseus: novo malware foca em apps de notas e carteiras de criptomoedas no Android
O Perseus, um malware recentemente analisado pela empresa de segurança ThreatFabric, está explorando um alvo pouco óbvio em dispositivos Android: aplicativos de anotações. A ameaça foi criada para vasculhar conteúdos salvos nesses apps e extrair informações altamente sensíveis, como senhas e frases-semente usadas para recuperar carteiras de criptomoedas. Com esses dados em mãos, criminosos conseguem assumir o controle de ativos digitais das vítimas sem precisar, muitas vezes, quebrar nenhum outro tipo de proteção adicional.
Diferente de muitas ameaças que chegam disfarçadas de jogos ou utilitários, o Perseus se apresenta como um aplicativo de IPTV, prometendo acesso a transmissões de TV e streaming “gratuitos” ou com vantagens exclusivas. Esse tipo de isca é bastante popular e, por isso, acaba atraindo usuários que aceitam instalar aplicativos obtidos fora da Google Play Store, abrindo mão das verificações de segurança presentes na loja oficial. A distribuição ocorre justamente por canais alternativos, como sites de download e arquivos APK compartilhados em outros ambientes.
Depois de instalado e ativo no dispositivo, o Perseus reúne um conjunto de funcionalidades típicas de malwares bancários modernos. Ele é capaz de registrar tudo o que o usuário digita (keylogging), permitindo capturar logins, senhas e qualquer informação inserida no teclado. Além disso, o malware consegue exibir janelas de sobreposição sobre aplicativos legítimos, geralmente telas falsas muito parecidas com as originais, induzindo o usuário a inserir novamente suas credenciais. Essas técnicas ampliam consideravelmente as chances de roubo de dados sensíveis.
Outro recurso perigoso identificado pelos pesquisadores é a capacidade de realizar fraudes do tipo Device Takeover. Nesse cenário, o criminoso obtém acesso remoto ao aparelho infectado e passa a operá-lo como se fosse o próprio dono. Em vez de simplesmente roubar senhas para usar depois, o invasor realiza transações em tempo real diretamente do dispositivo comprometido, como movimentações financeiras ou saques de criptomoedas. Isso torna a detecção bem mais difícil, já que as operações partem de um aparelho legítimo, reconhecido por bancos e serviços online.
O Perseus também se destaca por seu foco específico em aplicativos de notas, algo que foge do padrão de muitos outros malwares. De acordo com a ThreatFabric, o código do malware foi programado para abrir e pesquisar ativamente o conteúdo de vários apps populares, incluindo Google Keep, Samsung Notes, Evernote, Microsoft OneNote e Simple Notes. A ideia é encontrar textos que contenham senhas, logins, anotações de recuperação de contas e, principalmente, frases-semente de carteiras de criptomoedas que muitos usuários guardam nesses espaços por comodidade.
Essa estratégia explora um hábito arriscado, mas bastante comum: usar aplicativos de anotações como um “cofre improvisado” para registrar dados importantes. Embora pareça prático ter tudo salvo em um único lugar, esse tipo de armazenamento não oferece, por padrão, os mesmos níveis de proteção de um gerenciador de senhas ou de uma carteira de criptomoedas segura. Ao direcionar a busca justamente para essas notas, o Perseus encurta o caminho até as informações mais valiosas do aparelho.
Segundo a análise da ThreatFabric, a campanha do Perseus tem se concentrado em usuários Android de alguns países europeus: Turquia, Itália, Polônia e Alemanha estão entre os principais alvos. A empresa já havia observado, em estudos anteriores, um aumento considerável de ataques voltados especificamente para usuários da Europa por meio de aplicativos de IPTV falsos. O surgimento do Perseus é visto como uma continuidade e sofisticação dessa tendência, aproveitando o apelo desses serviços de streaming alternativos para espalhar o malware.
A escolha por se disfarçar como app de IPTV não é aleatória. Muitos usuários, em busca de canais pagos sem custo ou com valores muito abaixo do mercado, acabam recorrendo a aplicativos distribuídos em sites pouco confiáveis. Ao instalar manualmente arquivos APK obtidos nesses locais, o usuário assume riscos significativos, já que não há qualquer garantia de que o software foi verificado ou está livre de códigos maliciosos. O Perseus se beneficia exatamente desse cenário de confiança equivocada em soluções “paralelas” de entretenimento digital.
Além do impacto imediato sobre carteiras de criptomoedas, o roubo de senhas e dados pessoais por meio do Perseus pode abrir portas para outros tipos de fraude. Informações obtidas em aplicativos de notas e por keylogging podem ser reutilizadas para acessar contas de e-mail, redes sociais, internet banking, lojas online e serviços corporativos. Em casos mais graves, isso pode resultar não só em perdas financeiras, mas também em sequestro de contas, uso de identidade para golpes e comprometimento de dados profissionais.
Para reduzir o risco de infecção por ameaças como o Perseus, é fundamental rever alguns hábitos de uso do smartphone. Instalar aplicativos apenas a partir da loja oficial, manter o sistema operacional e os apps sempre atualizados e desconfiar de ofertas “boas demais para ser verdade” em serviços de IPTV são passos básicos, mas eficazes. Também é recomendável utilizar um antivírus confiável no Android, capaz de detectar comportamentos suspeitos, como tentativas de sobreposição de tela, uso abusivo de serviços de acessibilidade ou comunicações estranhas com servidores remotos.
Outro ponto importante é a forma como dados sensíveis são armazenados. Frases-semente de carteiras de criptomoedas nunca devem ser guardadas em apps de notas simples, e muito menos em textos sem qualquer tipo de criptografia adicional. O ideal é usar carteiras que ofereçam mecanismos seguros de backup, ou, quando necessário, armazenar a seed em meios offline, como papel guardado em local seguro ou dispositivos específicos para isso. Para senhas, o uso de um gerenciador dedicado é muito mais seguro do que anotações dispersas no celular.
Para quem já instalou aplicativos de IPTV obtidos fora da loja oficial, vale a pena fazer uma varredura completa no dispositivo. Remover apps desconhecidos ou que pedem permissões exageradas, verificar se há comportamentos estranhos (como consumo anormal de bateria, travamentos constantes ou telas sobrepostas de forma suspeita) e alterar senhas importantes podem ajudar a mitigar danos. Em casos de uso de carteiras de criptomoedas no mesmo aparelho, é prudente considerar a transferência dos fundos para uma nova carteira, com nova frase-semente, gerada em um ambiente considerado limpo.
Organizações e profissionais de segurança também devem ficar atentos ao tipo de ameaça representado pelo Perseus. Como o malware consegue tanto capturar credenciais quanto assumir o controle remoto do dispositivo, ele pode ser usado em ataques que miram não só usuários finais, mas também acessos corporativos. Políticas claras sobre uso de apps pessoais em dispositivos de trabalho, orientações para não armazenar dados corporativos em apps de notas comuns e campanhas educativas sobre riscos de APKs de origem duvidosa são medidas relevantes de proteção.
O Perseus ilustra uma evolução no modelo de ataque contra usuários de Android: em vez de mirar apenas aplicativos bancários ou serviços específicos, ele explora hábitos cotidianos, como fazer anotações rápidas de senhas e guardar frases-semente no bloco de notas. A combinação de engenharia social (por meio de apps de IPTV atrativos), capacidades avançadas de roubo de informações e o uso de Device Takeover torna essa ameaça particularmente perigosa. A melhor defesa, nesse contexto, é a combinação de ferramentas de segurança com mudança de comportamento: instalar menos, desconfiar mais e nunca subestimar o valor do que está escrito em um simples aplicativo de notas.