问题:多家网络安全研究团队监测发现,一种名为“Perseus”的安卓恶意软件家族近期境外网络空间持续传播,主要用于设备接管与金融欺诈;不同于以往同类木马多聚焦盗取账户口令,“Perseus”增加了对笔记类应用的监控与内容抓取能力,试图从用户日常记录中提取支付信息、验证码备份、私钥助记词、客户资料等敏感内容,表现为从“盗号”向“窃取信息资产”扩展的趋势。 原因:从技术脉络看,“Perseus”沿袭了近年来安卓银行木马的常见演进路径,基于既有代码体系不断迭代,在功能组合与隐蔽性上深入增强。其传播方式利用部分用户通过非官方渠道安装应用的习惯,常伪装成IPTV观看服务等“需求高、易侧载”的应用类型,通过钓鱼网站投放安装包,降低受害者警惕并提高下载成功率。入侵后,恶意程序重点滥用系统辅助功能(无障碍)等权限,借助近实时远程会话实现对设备的精细化操作,并通过伪造覆盖界面、记录输入等手段截获敏感数据,形成“诱导安装—提权驻留—远控作恶”的完整链条。 影响:从受害范围看,对应的活动已在土耳其、意大利以及波兰、德国、法国、阿联酋、葡萄牙等国家和地区被观察到,显示其具备跨区域投放与多语言适配能力。就危害形态而言,一上,恶意程序可银行、支付及加密资产服务界面叠加仿冒页面,实时拦截账号、密码、短信验证码等关键信息;配合远程操控,攻击者可直接实施欺诈转账或诱导授权操作。另一上,其“扫描笔记”能力显著放大风险外溢。许多用户习惯在笔记中保存账号提示、收款信息、证件照片、业务往来数据甚至密钥备份,一旦被批量抓取,除了个人财产损失,还可能引发社交账号接管、企业数据泄露与精准诈骗等连锁风险,增加金融机构反欺诈与终端安全治理压力。 对策:安全业内人士建议从个人、平台与机构三个层面同步加固。对用户而言,应优先通过官方应用商店获取软件,谨慎安装来历不明的安装包,尤其对“需要开启辅助功能/无障碍服务、读取通知、显示在其他应用上层”等高风险权限保持警惕;定期检查系统辅助功能中已授权的应用,关闭不必要权限;避免将验证码、密码提示、助记词等敏感信息存放在普通笔记中,必要时使用具备强加密能力的合规密码管理工具;同时开启系统与安全软件的风险提示和安装校验功能,及时更新系统补丁。对应用平台和厂商而言,可加强对仿冒IPTV等高风险类别样本的识别与下架联动,完善对滥用辅助功能、异常覆盖层、键盘记录等行为的检测策略。对金融机构与加密服务提供方而言,应持续强化多因素认证、设备指纹与行为风控,针对“远程会话+覆盖攻击”的组合特征建立更敏捷的识别模型,并通过风险提示引导用户远离侧载与钓鱼链接。 前景:移动端木马正在加速向“平台化、模块化、远控化”演进。攻击者不再满足于单点盗号,而是通过远程操控、界面欺骗与信息抓取,形成更可持续的欺诈链条。随着用户在手机端承载的金融活动与数据资产不断增加,终端侧安全、权限治理与反欺诈体系的协同将成为长期课题。预计未来此类恶意软件仍将围绕伪装题材、社工诱导与权限滥用持续升级,各相关国家与行业需加强监测预警与跨域协作。
“珀尔修斯”恶意软件的传播再次提示我们:当攻击技术迭代加快、普通用户防范能力难以及时跟上,安全防护需要形成更清晰的责任分工与协作机制;政府部门强化治理与联动,平台和厂商提升审核与检测能力,公众提高安装与授权风险意识,三方共同发力,才能降低此类远控型木马带来的持续性威胁。这也将检验各国在数字时代的风险治理与应急响应能力。(完)