Beware of the new money-sucking malware on Android "Perseus."

Beware of new money-sucking malware on Android. "Perseus" is found secretly smuggling data from various notebook apps to steal the code.

The name Perseus may be familiar as the name of a Greek hero and the name of a mage who was famous on satellite television and the Thai Internet more than 10 years ago, but this name may no longer be cool or funny, as it has already been used as a money-sucking malware or Banking Trokjan.

According to a report by The Hacker News website, the detection of a Banking Trojan campaign called Perseus, which has the ability to take over and completely control the victim's machine (DTO or Device Take Over). This malware is called a development of two malware types: Cerberus and Phoenix. Cerberus was first detected in 2019. This malware has been featured in Accessibility Mode and the ability to add Permission access to the system to itself. The source code of this malware has been leaked to the public, causing it to be developed into many sub-species such as Alien, ERMAC, Phoenix. To date, the upcoming Perseus example is based on the foundation of this malware, but the Flexibility has been added to make way for the spread by relying on Loader malware as an intermediary. Phishing scams with the convenient use of fake websites. The fake application used to trick the victim into installing the malware was revealed by the research team. The names are listed as follows:

Roja App Directa (com.xcvuc.ocnsxn) - Resume Bird Malware (Dropper)

TvTApp (com.tvtapps.live) - Perseus payload malware (payload) file

PolBox Tv (com.streamview.players) - Perseus Malware File

According to an in-depth analysis, the research team found that there is a possibility that hackers have introduced a large-scale language model (LLM or Large Language Model) of artificial intelligence into this malware development stage because many logging and Emoji records have been detected on the code, which is inconsistent from normal human coding. For that outbreak, a research team from ThreatFabric, a cyberdefense specialist, found that this malware is in a variety of areas such as Turkey, Italy, Poland, Germany, France. The United Arab Emirates and Portugal, especially the first two countries, will have particularly heavy outbreaks.

The ability of such malware to the victim's machine is called abundant, such as

Scan _ notes, used to copy data from Note-Taking Apps such as Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes, and Microsoft OneNote (but the package name on the code is misstated as "com.microsoft onenote" instead of "com.microsoft.office onenote").

Start _ vnc, used to convey the victim's machine screen almost near real time (Real-Time).

Stop _ vnc, used to close Session d Remote Control

Start _ hvnc, used to convey the structure data. The sequence of the UI or User Interface goes back to the malware controller hacker to access the victim's screen.

Stop _ hvnc, used to close Session d Remote Control

Enable _ accessibility _ screenshot, used to open the Screenshot feature through Accessibility Mode

Disable _ accessibility _ screenshot, disable the Screenshot feature through Accessibility Mode

Unblock _ app, used to remove the name of the application from the blocking list or Blocklist

Clear _ blocked, to clear the entire list of blocked applicants.

Action _ blackscreen, used to open the black screen to overlay (Overlay) the malware working screen

Nighty, used to mute the victim machine.

Click _ coord, used to swipe the screen (Tap) at the desired location

Install _ from _ unknown, used to manage the installation of unkown Sources.

Start _ app, used to open applications that hackers want.

In addition, this malware has the ability to evade being analyzed (Anti-Analysis), resist being debugged (Anti-Debugged), and check if a SIM card (SIM) is inserted correctly.

1 day agoEdited to

เมื่อพูดถึงมัลแวร์บนระบบ Android โดยเฉพาะอย่างยิ่งที่เข้าถึงข้อมูลส่วนตัวอย่างลึกซึ้งอย่างมัลแวร์ Perseus มันเป็นสิ่งที่สร้างความกังวลอย่างมากในยุคที่เราพึ่งพาแอปจดโน้ตและแอปจัดการข้อมูลส่วนตัวมากขึ้น จากประสบการณ์ส่วนตัว ผมเคยสัมผัสกับมัลแวร์ประเภทที่สามารถดักจับข้อมูลส่วนตัวที่เก็บไว้ในแอปจดโน้ต เช่น แอปรายการสิ่งที่ต้องทำ หรือแม้แต่ข้อมูลสำคัญที่เกี่ยวข้องกับบัญชีธนาคารและรหัสผ่านต่างๆ ซึ่งมัลแวร์เหล่านี้จะพยายามเลี่ยงการถูกตรวจจับด้วยเทคนิคขั้นสูงอย่างการล็อกบันทึกการทำงานหรือใช้โหมดช่วยเหลือคนพิการ เพื่อหลีกเลี่ยงระบบป้องกันของ Android สิ่งที่น่ากลัวที่สุดของ Perseus คือความสามารถในการแสดงผลแบบเรียลไทม์และเข้าควบคุมเครื่องเหยื่อที่เรียกว่า Device Take Over (DTO) ทำให้แฮกเกอร์สามารถเข้าถึงและจัดการเครื่องได้เหมือนกับถือมือถืออยู่ในมือเลยทีเดียว ซึ่งรวมถึงเปิดการบันทึกหน้าจอ การปิดเสียง รวมถึงการสร้างหน้าจอโปร่งทึบเพื่อหลีกเลี่ยงการสังเกตเห็นของผู้ใช้ หลายครั้งที่มัลแวร์รูปแบบนี้แฝงตัวผ่านแอปปลอมที่ถูกปล่อยลงสโตร์ปลอม รวมถึงการใช้ Phishing เพื่อหลอกให้ผู้ใช้ดาวน์โหลดแอปเหล่านี้ ควรระมัดระวังและตรวจสอบแหล่งที่มาของแอปอย่างละเอียด โดยเฉพาะแอปที่ร้องขอสิทธิ์มากเกินความจำเป็น การป้องกันเบื้องต้นสำหรับผู้ใช้ Android คือ 1. ติดตั้งแอปจาก Play Store เท่านั้น และควรตรวจสอบรีวิวและความน่าเชื่อถือของผู้พัฒนาอย่างรอบคอบ 2. จำกัดการเปิดอนุญาตสิทธิ์ (Permissions) ให้เฉพาะแอปที่จำเป็น 3. ติดตั้งโปรแกรมแอนตี้ไวรัสหรือแอนตี้มัลแวร์ที่มีการอัพเดตฐานข้อมูลล่าสุด 4. ระมัดระวังเว็บไซต์และลิงก์ที่คลิก โดยเฉพาะอย่างยิ่งจากอีเมลหรือข้อความที่ไม่น่าเชื่อถือ สุดท้าย การตระหนักถึงภัยคุกคามและติดตามข่าวสารด้านความปลอดภัยไซเบอร์อยู่เสมอ ถือเป็นเรื่องสำคัญมากที่จะช่วยให้เราไม่ตกเป็นเหยื่อของมัลแวร์ชนิดนี้ และยังช่วยปกป้องข้อมูลส่วนตัวของเราให้คงอยู่ปลอดภัยได้ในยุคดิจิทัลนี้