Detectan Perseus, malware que roba datos bancarios en Android
La amenaza compromete cuentas financieras y datos personales en móviles.
Investigadores en ciberseguridad alertaron en marzo de 2026 sobre Perseus, un nuevo malware bancario dirigido a dispositivos Android que roba información sensible como contraseñas, datos financieros y frases de recuperación. La amenaza se distribuye mediante aplicaciones falsas, principalmente servicios IPTV fuera de tiendas oficiales, y permite a ciberdelincuentes tomar control del dispositivo para ejecutar fraudes.
El software malicioso utiliza técnicas avanzadas como ataques de superposición (overlay), captura de pantalla y acceso a notas personales del usuario para extraer información crítica. Según los análisis, este método amplía el alcance del espionaje digital, ya que no solo intercepta credenciales tradicionales, sino también datos almacenados manualmente en el dispositivo, como claves o información privada.
El caso de Perseus se suma a un aumento sostenido de amenazas móviles. En 2025 se registraron más de 14 millones de ataques a dispositivos, con un crecimiento notable de troyanos bancarios capaces de ejecutar fraudes directamente desde los teléfonos. Además, la distribución mediante aplicaciones fuera de tiendas oficiales sigue siendo una de las principales vías de infección, aprovechando hábitos de descarga de contenido gratuito o pirata.
Especialistas recomiendan evitar la instalación de aplicaciones desde fuentes no oficiales, revisar los permisos solicitados y mantener actualizado el sistema operativo. Las firmas de seguridad continúan monitoreando la evolución de Perseus, ante el riesgo de expansión a nuevos mercados y servicios financieros.
Perseus está construido sobre las bases de Cerberus y Phoenix, evolucionando al mismo tiempo hacia una plataforma “más flexible y capaz” para comprometer dispositivos Android mediante aplicaciones tipo dropper distribuidas a través de sitios de phishing.
“A través de sesiones remotas basadas en accesibilidad, el malware permite la supervisión en tiempo real y una interacción precisa con los dispositivos infectados, lo que facilita el control total del equipo y el ataque a diversas regiones, con un enfoque particular en Turquía e Italia”, indicó ThreatFabric en un informe compartido con The Hacker News.
“Más allá del robo tradicional de credenciales, Perseus monitorea las notas del usuario, lo que indica un interés en extraer información personal o financiera de alto valor”.
Cerberus fue documentado por primera vez por la empresa neerlandesa de seguridad móvil en agosto de 2019, destacando el uso indebido del servicio de accesibilidad de Android para obtener permisos adicionales, así como robar datos sensibles y credenciales mediante pantallas falsas superpuestas. Tras la filtración de su código fuente en 2020, surgieron múltiples variantes, entre ellas Alien, ERMAC y Phoenix.
Algunos de los archivos distribuidos por Perseus incluyen:
Roja App Directa (com.xcvuc.ocnsxn) – Aplicación dropper
TvTApp (com.tvtapps.live) – Carga maliciosa de Perseus
PolBox Tv (com.streamview.players) – Carga maliciosa de Perseus
El análisis de ThreatFabric ha revelado que el malware amplía la base de código de Phoenix, y que es probable que los actores de la amenaza hayan utilizado un modelo de lenguaje de gran escala (LLM) para apoyar su desarrollo. Esta conclusión se basa en indicios como un registro interno muy detallado dentro de las aplicaciones y la presencia de emojis en el código fuente.
El malware permite al operador emitir comandos de forma remota a través de un panel de control y mando (C2), así como realizar y autorizar transacciones fraudulentas. Algunos de los comandos compatibles son los siguientes:
scan_notes: para capturar contenido de diversas aplicaciones de notas, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes y Microsoft OneNote (utiliza un nombre de paquete incorrecto "com.microsoft.onenote" en lugar de "com.microsoft.office.onenote").
start_vnc: para iniciar una transmisión visual casi en tiempo real de la pantalla de la víctima.
stop_vnc: para detener la sesión remota.
start_hvnc: para transmitir una representación estructurada de la interfaz de usuario (UI) y permitir al atacante interactuar programáticamente con sus elementos.
stop_hvnc: para detener la sesión remota.
enable_accessibility_screenshot: para habilitar la captura de pantalla mediante el servicio de accesibilidad.
disable_accessibility_screenshot: para deshabilitar la captura de pantalla mediante el servicio de accesibilidad.
unblock_app: para eliminar una aplicación de la lista de bloqueo.
clear_blocked: para borrar toda la lista de aplicaciones bloqueadas.
action_blackscreen: para mostrar una pantalla negra que oculte la actividad del dispositivo al usuario.
nighty: para silenciar el audio.
click_coord: para realizar un toque en coordenadas específicas de la pantalla.
install_from_unknown: para forzar la instalación desde fuentes desconocidas.
start_app: para iniciar una aplicación específica.
Perseus realiza una amplia variedad de verificaciones del entorno para detectar la presencia de herramientas de depuración y análisis como Frida y Xposed. Además, comprueba si hay una tarjeta SIM insertada, determina el número de aplicaciones instaladas y si este es inusualmente bajo, y valida los valores de la batería para asegurarse de que se está ejecutando en un dispositivo real.
Luego, el malware combina toda esta información para generar una puntuación general de sospecha, que se envía al panel C2 para decidir el siguiente curso de acción y si el operador debe proceder con el robo de datos.
“Perseus evidencia la evolución continua del malware en Android, mostrando cómo las amenazas modernas se basan en familias ya conocidas como Cerberus y Phoenix, incorporando mejoras específicas en lugar de crear paradigmas completamente nuevos”, señaló ThreatFabric.
“Sus capacidades, que van desde el control remoto basado en accesibilidad y ataques de superposición, hasta el monitoreo de notas, reflejan un enfoque claro en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Este equilibrio entre funcionalidad heredada e innovación selectiva demuestra una tendencia más amplia hacia la eficiencia y adaptabilidad en el desarrollo de malware.”
About The Author
