{"id":299,"date":"2026-03-19T13:52:36","date_gmt":"2026-03-19T13:52:36","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/19\/el-nuevo-malware-bancario-perseus-para-android-monitorea-las-aplicaciones-de-notas-para-extraer-datos-confidenciales-cyberdefensa-mx\/"},"modified":"2026-03-19T13:52:36","modified_gmt":"2026-03-19T13:52:36","slug":"el-nuevo-malware-bancario-perseus-para-android-monitorea-las-aplicaciones-de-notas-para-extraer-datos-confidenciales-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/19\/el-nuevo-malware-bancario-perseus-para-android-monitorea-las-aplicaciones-de-notas-para-extraer-datos-confidenciales-cyberdefensa-mx\/","title":{"rendered":"El nuevo malware bancario Perseus para Android monitorea las aplicaciones de notas para extraer datos confidenciales \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Investigadores de ciberseguridad han revelado una nueva familia de malware para Android llamada <strong>Perseo<\/strong> que se est\u00e1 distribuyendo activamente en la naturaleza con el objetivo de realizar adquisici\u00f3n de dispositivos (DTO) y fraude financiero.<\/p>\n<p>Perseus se basa en los cimientos de Cerberus y Phoenix, y al mismo tiempo evoluciona hacia una \u00abplataforma m\u00e1s flexible y capaz\u00bb para comprometer dispositivos Android a trav\u00e9s de aplicaciones de cuentagotas distribuidas a trav\u00e9s de sitios de phishing.<\/p>\n<p>\u00abA trav\u00e9s de sesiones remotas basadas en accesibilidad, el malware permite el monitoreo en tiempo real y la interacci\u00f3n precisa con los dispositivos infectados, lo que permite la toma total del dispositivo y se dirige a varias regiones, con un fuerte enfoque en Turqu\u00eda e Italia\u00bb, ThreatFabric <a href=\"https:\/\/www.threatfabric.com\/blogs\/perseus-dto-malware-that-takes-notes\" rel=\"noopener\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>\u00abM\u00e1s all\u00e1 del robo de credenciales tradicional, Perseus monitorea las notas de los usuarios, lo que indica un enfoque en extraer informaci\u00f3n personal o financiera de alto valor\u00bb.<\/p>\n<p>Cerbero era <a href=\"https:\/\/www.threatfabric.com\/blogs\/cerberus-a-new-banking-trojan-from-the-underworld\" rel=\"noopener\" target=\"_blank\">documentado por primera vez<\/a> por la empresa holandesa de seguridad m\u00f3vil en agosto de 2019, destacando el abuso del malware del servicio de accesibilidad de Android para otorgarse permisos adicionales, as\u00ed como para robar datos y credenciales confidenciales al mostrar pantallas superpuestas falsas. Tras la filtraci\u00f3n de su c\u00f3digo fuente en 2020, han surgido m\u00faltiples variantes, incluidas Alien, ERMAC y <a href=\"https:\/\/cryptax.medium.com\/android-phoenix-authors-claims-sample-identification-and-trends-f199cbc9901d\" rel=\"noopener\" target=\"_blank\">F\u00e9nix<\/a>.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Algunos de los artefactos distribuidos por Perseo se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li>Roja App Directa (com.xcvuc.ocnsxn) \u2013 Cuentagotas<\/li>\n<li>TvTApp (com.tvtapps.live) \u2013 Carga \u00fatil de Perseo<\/li>\n<li>PolBox Tv (com.streamview.players) \u2013 Carga \u00fatil de Perseus<\/li>\n<\/ul>\n<p>El an\u00e1lisis de ThreatFabric ha descubierto que el malware se expande en el c\u00f3digo base de Phoenix, y los actores de amenazas probablemente dependen de un modelo de lenguaje grande (LLM) para ayudar con el desarrollo. Esto se basa en indicadores como el registro extenso en la aplicaci\u00f3n y la presencia de emojis en el c\u00f3digo fuente.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjm_227vGFee26KQZUKD7-aDQA2Ah_xX8uQcrAUcOZGDhjIrOwpyqcEpZCtK3hgPm5ds2VQwudRrGfuuWQ7l-qtmZcXyIIqsHfSs5VcsSGdARgny1B_hZsQFX_Xpij0azwh2UZr7F_Bt56IPeNYwg2aUyP11TKJVKtnpz8d0144Gg7K0l6nT-3TREltUvYg\/s1700-e365\/Perseus-2.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjm_227vGFee26KQZUKD7-aDQA2Ah_xX8uQcrAUcOZGDhjIrOwpyqcEpZCtK3hgPm5ds2VQwudRrGfuuWQ7l-qtmZcXyIIqsHfSs5VcsSGdARgny1B_hZsQFX_Xpij0azwh2UZr7F_Bt56IPeNYwg2aUyP11TKJVKtnpz8d0144Gg7K0l6nT-3TREltUvYg\/s1700-e365\/Perseus-2.jpg\" alt=\"\" border=\"0\" data-original-height=\"1080\" data-original-width=\"1920\"\/><\/a><\/div>\n<p>Al igual que con el malware Massiv para Android recientemente revelado, Perseus se hace pasar por servicios de IPTV para dirigirse a los usuarios que buscan descargar dichas aplicaciones en sus dispositivos para ver contenido premium. Las campa\u00f1as que distribuyen el malware se han dirigido principalmente a Turqu\u00eda, Italia, Polonia, Alemania, Francia, los Emiratos \u00c1rabes Unidos y Portugal.<\/p>\n<p>\u00abAl incorporar su carga \u00fatil dentro de este contexto esperado, el malware Perseus reduce efectivamente la sospecha de los usuarios y aumenta las tasas de \u00e9xito de la infecci\u00f3n, combinando la actividad maliciosa con un modelo de distribuci\u00f3n com\u00fanmente aceptado para dichos servicios\u00bb, dijo ThreatFabric.<\/p>\n<p>Una vez implementado, Perseus no funciona de manera diferente a otros programas maliciosos bancarios para Android, ya que lanza ataques de superposici\u00f3n y captura pulsaciones de teclas para interceptar las entradas del usuario en tiempo real y muestra interfaces falsas encima de aplicaciones financieras y servicios de criptomonedas para robar credenciales.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhKl79f3iaY5CUwYOCJsQ3l-Mx2KtxMCfHPlIVYzyTiq8Kedv_qguult8GAaBLCyVJMGvuln5LhxcUKWM15p9kJjq_l_8By_DzUQKhPhMCQxLSN3IEAq-gh8HKk3M2qyvKEXluEqKqYI0djcWYppniN-mA5KyqPYODTUdG3lAi8cEYXNrdw4XL77WCSn2wz\/s1700-e365\/Perseus-1.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhKl79f3iaY5CUwYOCJsQ3l-Mx2KtxMCfHPlIVYzyTiq8Kedv_qguult8GAaBLCyVJMGvuln5LhxcUKWM15p9kJjq_l_8By_DzUQKhPhMCQxLSN3IEAq-gh8HKk3M2qyvKEXluEqKqYI0djcWYppniN-mA5KyqPYODTUdG3lAi8cEYXNrdw4XL77WCSn2wz\/s1700-e365\/Perseus-1.jpg\" alt=\"\" border=\"0\" data-original-height=\"1080\" data-original-width=\"1920\"\/><\/a><\/div>\n<p>El malware tambi\u00e9n permite al operador emitir comandos de forma remota a trav\u00e9s de un panel de comando y control (C2) y realizar y autorizar transacciones fraudulentas. Algunos de los comandos admitidos son los siguientes:<\/p>\n<ul>\n<li><strong>notas_escaneo<\/strong>para capturar contenidos de varias aplicaciones para tomar notas, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes y Microsoft OneNote (especifica el nombre de paquete incorrecto \u00abcom.microsoft.onenote\u00bb en lugar de \u00abcom.microsoft.office.onenote\u00bb). <\/li>\n<li><strong>inicio_vnc<\/strong>para iniciar una transmisi\u00f3n visual casi en tiempo real de la pantalla de la v\u00edctima.<\/li>\n<li><strong>parada_vnc<\/strong>para detener la sesi\u00f3n remota.<\/li>\n<li><strong>inicio_hvnc<\/strong>para transmitir una representaci\u00f3n estructurada de la jerarqu\u00eda de la interfaz de usuario y permitir que el actor de amenazas interact\u00fae con los elementos de la interfaz de usuario mediante programaci\u00f3n.<\/li>\n<li><strong>parada_hvnc<\/strong>para detener la sesi\u00f3n remota.<\/li>\n<li><strong>enable_accessibility_screenshot<\/strong>para permitir la realizaci\u00f3n de capturas de pantalla utilizando el servicio de accesibilidad.<\/li>\n<li><strong>desactivar_accesibilidad_captura de pantalla<\/strong>para desactivar la realizaci\u00f3n de capturas de pantalla utilizando el servicio de accesibilidad.<\/li>\n<li><strong>desbloquear_aplicaci\u00f3n<\/strong>para eliminar una aplicaci\u00f3n de la lista de bloqueo.<\/li>\n<li><strong>claro_bloqueado<\/strong>para borrar toda la lista de aplicaciones bloqueadas.<\/li>\n<li><strong>acci\u00f3n_pantalla negra<\/strong>para mostrar una pantalla superpuesta en negro para ocultar la actividad del dispositivo al usuario.<\/li>\n<li><strong>camis\u00f3n<\/strong>para silenciar el audio.<\/li>\n<li><strong>clic_coord<\/strong>para realizar un toque en coordenadas de pantalla espec\u00edficas.<\/li>\n<li><strong>instalar_desde_desconocido<\/strong>para forzar la instalaci\u00f3n desde fuentes desconocidas.<\/li>\n<li><strong>inicio_aplicaci\u00f3n<\/strong>para iniciar una aplicaci\u00f3n espec\u00edfica.<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fs-report-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjWQgUDT06NQu9vGMPC7BWROmJABTIWg058l7oGKD-v3ZchC8_66xjbclOE9koChsRf5CEKgqrXTVrne_00PdGokh3brhvF-g33I4FYYpTukrvuNQWXZOVAfon6-2axyRoVJ4uOrXPqRhxfZUaJWEm-K9esUS3ql8VSVWAKLqyfhHLgMSXhkMTkcOtGSX7R\/s728-e100\/fs-report-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Perseus realiza una amplia gama de comprobaciones ambientales para detectar la presencia de depuradores y herramientas de an\u00e1lisis como Frida y Xposed, adem\u00e1s de verificar si se ha insertado una tarjeta SIM, determinar la cantidad de aplicaciones instaladas y si es inusualmente baja, y validar los valores de la bater\u00eda para asegurarse de que est\u00e9 funcionando en un dispositivo real.<\/p>\n<p>Luego, el malware combina toda esta informaci\u00f3n para formular una puntuaci\u00f3n de sospecha general que se env\u00eda al panel C2 para decidir el siguiente curso de acci\u00f3n y si el operador debe proceder con el robo de datos.<\/p>\n<p>\u00abPerseus destaca la evoluci\u00f3n continua del malware para Android, demostrando c\u00f3mo las amenazas modernas se basan en familias establecidas como Cerberus y Phoenix al tiempo que introducen mejoras espec\u00edficas en lugar de paradigmas completamente nuevos\u00bb, dijo ThreatFabric.<\/p>\n<p>\u00abSus capacidades, que van desde control remoto basado en accesibilidad y ataques de superposici\u00f3n hasta monitoreo de notas, muestran un claro enfoque en maximizar tanto la interacci\u00f3n con el dispositivo como el valor de los datos recopilados. Este equilibrio entre la funcionalidad heredada y la innovaci\u00f3n selectiva refleja una tendencia m\u00e1s amplia hacia la eficiencia y la adaptabilidad en el desarrollo de malware\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de ciberseguridad han revelado una nueva familia de malware para Android llamada Perseo que se est\u00e1 distribuyendo activamente en la naturaleza con el objetivo de realizar adquisici\u00f3n de dispositivos (DTO) y fraude financiero. Perseus se basa en los cimientos de Cerberus y Phoenix, y al mismo tiempo evoluciona hacia una \u00abplataforma m\u00e1s flexible y [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[75,786,1050,1055,24,627,1054,95,60,1052,1053,169,36,1051],"class_list":["post-299","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-android","tag-aplicaciones","tag-bancario","tag-confidenciales","tag-cyberdefensa-mx","tag-datos","tag-extraer","tag-las","tag-malware","tag-monitorea","tag-notas","tag-nuevo","tag-para","tag-perseus"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/299","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=299"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/299\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=299"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=299"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=299"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}