Perseus, un nuovo malware Android è una delle minacce più inquietanti emerse nelle ultime ore, perché non si limita a fare le solite cose da trojan bancario. Secondo l’analisi tecnica, questo malware controlla anche le app di note presenti sul telefono per cercare informazioni sensibili come password, recovery phrase, codici finanziari e altri dati personali salvati dall’utente. È una svolta pesante, perché va a colpire uno degli spazi più privati e meno protetti nel comportamento quotidiano di tanti utenti.

La distribuzione avverrebbe tramite app IPTV installate da store non ufficiali o da APK sideloadati. È proprio questo il punto d’ingresso che rende la minaccia concreta: chi cerca contenuti gratis o app fuori dal circuito ufficiale tende ad abbassare più facilmente la guardia, accettando permessi e procedure che normalmente farebbero scattare un campanello d’allarme.

Perseus malware Android: oltre il classico trojan

La parte davvero anomala di Perseus è la funzione chiamata scan_notes. In pratica, il malware verifica se sul dispositivo sono installate app per appunti e poi prova ad aprirle una per una, navigando dentro l’interfaccia per leggere il contenuto delle note. Tra le app prese di mira compaiono servizi molto diffusi come Google Keep, Samsung Notes, Xiaomi Notes, Evernote, Microsoft OneNote, ColorNote e altre ancora.

Questo dettaglio cambia parecchio la percezione della minaccia. Molti malware Android puntano a credenziali, SMS o overlay sulle app bancarie; qui invece c’è un interesse diretto verso dati scritti a mano dall’utente, quindi informazioni più contestuali e spesso molto più preziose. Se una persona salva nelle note password, frasi seed, IBAN, promemoria finanziari o codici di recupero, il valore per un attaccante diventa enorme.

Perseus malware Android: come agisce

Secondo l’analisi pubblicata, Perseus sfrutta i servizi di accessibilità per automatizzare azioni sullo schermo. Questo gli permette di simulare tap, swipe, input di testo e navigazione nell’interfaccia. Inoltre può catturare screenshot in modo continuo, inviare una rappresentazione strutturata dell’interfaccia al server di comando e controllo, avviare overlay, registrare input e perfino oscurare lo schermo per nascondere quello che sta facendo alla vittima.

In altre parole, non siamo davanti a un malware semplice. Qui il rischio è quello di un device takeover quasi completo, dove l’operatore remoto non si limita a rubare un singolo dato, ma può controllare lo smartphone in modo molto più ampio e mirato. Ed è proprio questa combinazione tra accesso remoto e lettura delle note a rendere il malware più pericoloso del solito.

Italia tra i paesi nel mirino

L’analisi segnala anche un chiaro focus geografico. Le campagne osservate mostrano un forte interesse verso Turchia e Italia, con numerose istituzioni finanziarie prese di mira, oltre ad alcune app crypto: questo non significa che la minaccia sia limitata a quei mercati, ma indica che l’Italia rientra già nelle aree osservate con maggiore attenzione da parte degli attaccanti.

Per chi usa Android in Italia il messaggio è semplice: non è il classico problema lontano o astratto. È una minaccia che riguarda anche il nostro contesto e che può diventare concreta soprattutto quando si installano APK da fonti poco affidabili.

Perché preoccupa più del solito

C’è anche un altro elemento interessante. L’analisi tecnica parla di due rami del malware, uno in turco e uno in inglese, con quest’ultimo più rifinito, meglio organizzato e ricco di log e dettagli anomali nel codice, al punto da far pensare a un possibile supporto di strumenti AI nello sviluppo. Non è il cuore della minaccia, ma è un segnale di maturità operativa che merita attenzione.

In più, il malware integra controlli anti-analisi abbastanza avanzati: cerca segni di root, debugger, framework di strumentazione, profili da emulatore e perfino incoerenze hardware tipiche degli ambienti di test. Tradotto: chi lo ha sviluppato non ha improvvisato.

Come difendersi

La regola principale resta la più banale, ma anche la più importante: non installare app Android da store non ufficiali quando non si è assolutamente certi della loro provenienza. In questo caso il vettore di diffusione osservato ruota attorno ad app IPTV e APK sideloadati, quindi la prudenza lì fa tutta la differenza.

Allo stesso tempo, vale la pena evitare di salvare nelle note informazioni troppo sensibili in chiaro, come password principali, codici di recupero o seed phrase. Molti lo fanno per comodità, ma casi come questo mostrano perché questa abitudine sia sempre più rischiosa.

La notizia non è solo che esiste un nuovo malware Android. La notizia vera è che questo malware ha iniziato a guardare dove tanti utenti si sentivano ancora relativamente al sicuro: le note personali. E quando una minaccia arriva fin lì, vuol dire che il confine tra trojan bancario e sorveglianza privata si sta spostando parecchio.