Los ciberdelincuentes están evolucionando sus troyanos bancarios, apuntando directamente a las libretas de apuntes digitales donde los usuarios suelen guardar sus contraseñas en texto plano y frases semilla de criptomonedas.
El panorama del malware en Android tiene un nuevo y peligroso jugador en el campo. Este 19 de marzo de 2026, se reporta el descubrimiento de la familia de malware bancario “Perseus”, una amenaza activa diseñada para tomar el control total del dispositivo (DTO) y cometer fraude financiero.
Evolución Asistida por IA
Investigadores de ciberseguridad revelaron que Perseus no está construido desde cero, sino que evoluciona a partir del código fuente de familias de malware infames como Cerberus (cuyo código se filtró en 2020) y Phoenix.
Un detalle fascinante de su desarrollo es que los creadores de Perseus probablemente utilizaron Modelos de Lenguaje Grande (LLMs, inteligencia artificial) como asistentes de programación. Esta teoría de los investigadores se respalda por el extenso registro de actividad (logging) dentro de la aplicación y la inusual presencia de emojis directamente en el código fuente.
El Disfraz de IPTV y la Infección
Para infectar a sus víctimas, Perseus utiliza aplicaciones “cuentagotas” (droppers) que se distribuyen a través de sitios de phishing.
- El malware se disfraza de forma inteligente como servicios gratuitos de IPTV (televisión por internet), apuntando a usuarios que buscan evadir pagos y que instalan aplicaciones fuera de la tienda oficial (sideloading) para ver contenido premium.
- Sus campañas de infección se han concentrado fuertemente en Turquía e Italia, además de golpear a usuarios en Polonia, Alemania, Francia, los Emiratos Árabes Unidos y Portugal.
Espionaje de Notas y Control Remoto
Una vez instalado en el teléfono, Perseus abusa de los Servicios de Accesibilidad de Android para operar sin ser detectado y otorgarse permisos. Al igual que otros troyanos, despliega pantallas superpuestas falsas sobre aplicaciones legítimas y registra las pulsaciones del teclado para robar credenciales bancarias en tiempo real.
Sin embargo, su panel de Comando y Control (C2) revela funciones de espionaje avanzadas que lo hacen excepcionalmente peligroso:
- Comando scan_notes: Obliga al teléfono a capturar el contenido de populares aplicaciones de toma de notas como Google Keep, Samsung Notes, Xiaomi Notes, Evernote y OneNote, buscando información financiera o contraseñas guardadas sin protección.
- Comandos start_vnc y start_hvnc: Inician flujos visuales en tiempo real de la pantalla de la víctima y transmiten la jerarquía de la interfaz de usuario, permitiendo al ciberdelincuente interactuar de forma remota y autorizar transacciones fraudulentas a sus espaldas.
- Comando action_blackscreen: Despliega una pantalla negra para ocultarle al usuario lo que el malware está operando en segundo plano.
Para evitar ser detectado por analistas de seguridad, Perseus realiza una validación extrema del entorno antes de atacar: comprueba si hay depuradores activos (como Frida o Xposed), verifica si hay una tarjeta SIM insertada, evalúa la cantidad de aplicaciones instaladas (para detectar emuladores vacíos) e incluso valida el nivel de la batería.
Toda esta información se envía al servidor para generar una “puntuación de sospecha”, decidiendo si el entorno es real y pueden proceder con el robo de datos.
