Netcrook Logo
👤 LOGICFALCON
🗓️ 19 Mar 2026   🌍 Asia

Nota a me stesso: il malware Android “Perseus” sta leggendo i tuoi segreti

Un nuovo ceppo di malware fruga tra le tue note digitali, trasformando promemoria personali e liste di password in bottino per i cybercriminali.

Tutto inizia con un tap: un’app di streaming sportivo che promette partite gratis, installata in sideload in pochi secondi. Ma dietro l’esca delle dirette, è all’opera un ladro silenzioso. L’ultimo malware per Android, soprannominato “Perseus”, non si limita a rubare password dalle schermate di accesso: scava nelle tue note private, a caccia di segreti che credevi al sicuro.

Fatti rapidi

  • Perseus è un nuovo malware Android che prende di mira le app per prendere appunti per rubare dati sensibili.
  • Si diffonde tramite finte app di streaming IPTV al di fuori del Google Play Store.
  • Il malware abusa dei Servizi di accessibilità per ottenere il pieno controllo del dispositivo e rubare dati.
  • Obiettivi principali: istituti finanziari in Turchia, Italia e app di criptovalute.
  • Perseus esegue controlli anti-analisi prima di attivarsi sui dispositivi.

Il malware va oltre le password: l’ascesa di Perseus

Per anni, il malware Android si è concentrato sulla raccolta di credenziali e sull’intercettazione dei messaggi, ma Perseus porta il furto di dati a un nuovo livello. Camuffato da popolari app IPTV - come la famigerata Roja Directa TV - Perseus sfrutta la disponibilità degli utenti a installare app in sideload per ottenere streaming sportivi gratuiti. Una volta installato, si impossessa silenziosamente del controllo del dispositivo, aggirando persino le misure di sicurezza di Android 13+ con un dropper sofisticato che è stato usato anche per diffondere altri trojan bancari come Klopatra e Medusa.

Ma la vera innovazione è l’appetito di Perseus per le tue note. I ricercatori di ThreatFabric non avevano mai visto prima un malware Android aprire e scansionare in modo sistematico app come Google Keep, Samsung Notes, Evernote e OneNote, passando al setaccio promemoria personali alla ricerca di password, frasi di recupero, informazioni finanziarie o persino pensieri privati. La versione inglese del malware è particolarmente avanzata, con un logging esteso (completo di emoji) e un debugging migliorato - segnali che strumenti di IA potrebbero aver contribuito a realizzarne il codice.

Perseus è altamente selettivo: esegue una batteria di controlli anti-analisi per stabilire se un dispositivo è reale o una trappola di un ricercatore di sicurezza. Ispeziona di tutto, dai dettagli della SIM alle statistiche della batteria, inviando un “punteggio di sospetto” al suo centro di comando prima di scatenare l’intera suite di strumenti di spionaggio: screenshot continui, keylogging, attacchi overlay e tap simulati per manipolare il dispositivo da remoto.

Turchia e Italia sono i principali terreni di caccia, con decine di banche e app crypto elencate come obiettivi. I creatori del malware sanno che gli utenti spesso conservano informazioni sensibili nelle app di note - rendendole una miniera d’oro per i cybercriminali.

Restare al sicuro: il costo degli streaming gratuiti

La lezione è chiara: installare app in sideload da fonti non ufficiali è una scommessa ad alto rischio. Gli streaming sportivi gratuiti possono avere un prezzo nascosto - la tua privacy digitale. Gli esperti invitano gli utenti Android a restare sul Google Play Store ufficiale, mantenere attivo Play Protect ed evitare di usare le app di note per informazioni sensibili. Con l’evoluzione di malware come Perseus, persino i tuoi pensieri digitali più privati potrebbero non essere più al sicuro da occhi indiscreti.

WIKICROOK

  • Sideloading: Il sideloading è l’installazione di app o software al di fuori degli store ufficiali, spesso saltando i controlli di sicurezza standard e aumentando i rischi potenziali.
  • Dropper: Un dropper è un tipo di malware che installa di nascosto ulteriori programmi malevoli su un dispositivo infetto, aiutando gli attaccanti ad aggirare le misure di sicurezza.
  • Accessibility Services: I Servizi di accessibilità sono funzionalità Android che aiutano gli utenti con disabilità, ma possono essere abusati dal malware per controllare i dispositivi o rubare dati.
  • Overlay Attack: Un attacco overlay usa schermate false sovrapposte alle app reali per ingannare gli utenti e indurli a inserire dati sensibili come password o PIN, consentendo il furto di credenziali.
  • Keylogging: Il keylogging è un metodo di spionaggio in cui ogni pressione di tasto digitata viene registrata di nascosto e inviata ai cybercriminali, mettendo a rischio le tue informazioni sensibili.
Android Malware Data Theft Cybersecurity
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news