网络安全研究人员披露了一种名为Perseus的新型Android恶意软件家族，该恶意软件正在野外活跃传播，旨在进行设备接管（DTO）和金融欺诈。

Perseus基于Cerberus和Phoenix的基础构建，同时发展成为一个"更加灵活和强大的平台"，通过伪装投放应用程序经由钓鱼网站分发来入侵Android设备。

ThreatFabric在向The Hacker News分享的报告中表示："通过基于辅助功能的远程会话，该恶意软件能够实时监控并与感染设备进行精确交互，实现完全的设备接管，针对多个地区，主要聚焦于土耳其和意大利。除了传统的凭证窃取，Perseus还监控用户笔记，表明其专注于提取高价值的个人或金融信息。"

Cerberus最初由荷兰移动安全公司于2019年8月记录，突出了该恶意软件滥用Android辅助功能服务来授予自身额外权限，以及通过显示虚假覆盖屏幕来窃取敏感数据和凭证。在2020年源代码泄露后，出现了多个变种，包括Alien、ERMAC和Phoenix。

Perseus分发的一些恶意软件样本如下：

• Roja App Directa（com.xcvuc.ocnsxn）- 投放器

• TvTApp（com.tvtapps.live）- Perseus载荷

• PolBox Tv（com.streamview.players）- Perseus载荷

ThreatFabric的分析发现，该恶意软件在Phoenix代码库基础上进行了扩展，威胁行为者可能依赖大语言模型来协助开发。这基于诸如广泛的应用内日志记录和源代码中出现表情符号等指标得出。

与最近披露的Massiv Android恶意软件一样，Perseus伪装成IPTV服务来针对那些希望在设备上侧载此类应用以观看付费内容的用户。分发该恶意软件的活动主要针对土耳其、意大利、波兰、德国、法国、阿联酋和葡萄牙。

ThreatFabric表示："通过将其载荷嵌入到这种预期的环境中，Perseus恶意软件有效地减少了用户怀疑并提高了感染成功率，将恶意活动与此类服务的常见分发模式相融合。"

一旦部署，Perseus的功能与其他Android银行恶意软件没有区别，它会发起覆盖攻击并捕获击键来实时截获用户输入，在金融应用和加密货币服务上显示虚假界面以窃取凭证。