Perseus: el malware en apps IPTV que roba tu banco y vacía tus notas

Smartphone Android con alerta de malware superpuesta y logos de apps de notas comprometidas por el troyano Perseus — Perseus se distribuye camuflado en apps IPTV externas a Google Play y compromete desde credenciales bancarias hasta el contenido de tus notas personales

Ciberseguridad · Malware Android · Troyano Bancario · IPTV

Perseus: el malware en apps IPTV que roba tu banco y vacía tus notas personales

Documentado por ThreatFabric, Perseus es un troyano bancario que se infiltra en Android disfrazado de apps de streaming deportivo. Su novedad más peligrosa: un comando específico para extraer todo el contenido de Google Keep, Evernote, OneNote y otras apps de notas.

Una nueva amenaza para Android ha sido documentada por los investigadores de ThreatFabric. Se llama Perseus y llega camuflado en aplicaciones de televisión por internet que prometen retransmisiones deportivas gratuitas fuera de los canales oficiales.

Su linaje técnico enlaza con troyanos bancarios conocidos como Cerberus y Phoenix, pero Perseus introduce una capacidad que sus predecesores no tenían: la extracción sistemática del contenido almacenado en aplicaciones de notas, donde millones de usuarios guardan sin saberlo información altamente sensible.

Las apps infectadas: el gancho del fútbol gratis

Los atacantes han elegido con precisión su vector de entrada. Las apps IPTV que prometen acceso gratuito a contenido deportivo tienen una audiencia amplia y motivada para saltarse las tiendas oficiales e instalar archivos APK desde webs de terceros. Perseus explota exactamente esa conducta.

Apps identificadas con código malicioso de Perseus

Roja AppDirect — Suplanta la marca de Roja Directa para engañar a aficionados al fútbol
TvTApp — Servicio de IPTV distribuido fuera de Google Play
PolBox Tv — Otra plataforma de streaming con código troyanizado

Ninguna de estas aplicaciones está disponible en Google Play. Todas se distribuyen exclusivamente a través de sitios web de terceros, lo que ya es en sí mismo una señal de alerta que conviene tener muy presente.

Técnica de evasión: Para sortear las barreras de seguridad de las versiones más recientes de Android, Perseus utiliza un instalador auxiliar que actúa como puerta de entrada para cargas adicionales. Este mecanismo de doble fase complica la detección por parte de las soluciones de seguridad convencionales.

El arsenal de Perseus: qué puede hacer en tu móvil

Una vez instalado y con permisos de accesibilidad activos, Perseus despliega un conjunto de capacidades que otorgan al atacante control casi total sobre el dispositivo comprometido.

🎭

Superposición de pantallas falsas Genera interfaces idénticas a las de tu app bancaria real. Cuando introduces tus credenciales, las capturas Perseus, no tu banco.

⌨️

Keylogging en tiempo real Registra y envía a los atacantes todo lo que escribes en el teclado del dispositivo, incluyendo contraseñas y mensajes privados.

📋

Extracción de notas personales El comando scan_notes accede automáticamente a Google Keep, Evernote, OneNote y otras apps para filtrar su contenido.

📡

Control remoto absoluto Los atacantes pueden ver la pantalla en vivo, ejecutar gestos, escribir texto y silenciar el terminal sin que la víctima lo perciba.

El objetivo inédito: tus notas personales

La capacidad más singular de Perseus es el ataque directo a las aplicaciones de notas. Es una evolución lógica pero hasta ahora poco explotada: millones de usuarios almacenan en estas apps contraseñas, códigos PIN, frases semilla de carteras de criptomonedas y datos bancarios, convencidos de que están en un entorno privado y seguro.

Apps de notas en el punto de mira de Perseus

Google Keep, Samsung Notes, Xiaomi Notes, Evernote, Microsoft OneNote, ColorNote y Simple Notes son los objetivos confirmados del comando scan_notes. Si guardas contraseñas o datos sensibles en alguna de estas aplicaciones y has instalado alguna de las apps mencionadas, considera esa información comprometida.

Iconos de Google Keep, Evernote y Microsoft OneNote con símbolo de alerta de seguridad, representando el ataque de Perseus — El comando scan_notes de Perseus apunta a las principales apps de notas de Android para extraer información almacenada

Esta capacidad convierte a Perseus en una amenaza cualitativamente distinta a un troyano bancario convencional. No solo roba credenciales en el momento del acceso: extrae un repositorio completo de información acumulada durante meses o años de uso cotidiano.

Origen técnico: ThreatFabric sitúa a Perseus como evolución directa de los troyanos Cerberus y Phoenix, heredando su arquitectura de superposición de pantallas y keylogging pero añadiendo el módulo de extracción de notas como diferencial de nueva generación.

Cómo protegerte ahora mismo

La defensa frente a Perseus no requiere herramientas avanzadas, pero sí hábitos concretos. Si has instalado alguna de las apps mencionadas, actúa antes de continuar leyendo.

Solo Google Play para apps IPTV Nunca instales archivos APK de sitios web externos, especialmente si prometen contenido de pago de forma gratuita. La gratuidad es el señuelo.
Audita los permisos de accesibilidad Ve a Ajustes > Accesibilidad y revisa qué servicios están activos. Cualquier entrada que no reconozcas debe desactivarse de inmediato: es la vía de entrada principal de Perseus.
Elimina datos sensibles de las apps de notas Contraseñas, PINs y frases semilla de criptomonedas no deben guardarse en Google Keep, Evernote ni similares. Usa un gestor de contraseñas dedicado con cifrado.
Activa Google Play Protect Ve a Play Store > Perfil > Play Protect y verifica que el análisis de seguridad esté habilitado y actualizado.
Cambia credenciales si hubo exposición Si instalaste alguna de las apps identificadas, cambia de inmediato las contraseñas bancarias, el correo electrónico y cualquier servicio crítico desde un dispositivo diferente y limpio.

Conclusión: Perseus representa una evolución preocupante en el ecosistema de malware para Android. Al combinar el robo de credenciales bancarias en tiempo real con la extracción masiva de notas personales, amplía el daño potencial de una infección más allá del momento del ataque. El vector de entrada, apps IPTV externas a Google Play, es el mismo que lleva años siendo explotado, lo que hace aún más urgente el mensaje: ningún contenido gratuito justifica instalar una APK de origen desconocido. La higiene digital en las apps de notas deja de ser opcional a partir de hoy.

Perseus: el malware en apps IPTV que roba tu banco y vacía tus notas

Las apps infectadas: el gancho del fútbol gratis

El arsenal de Perseus: qué puede hacer en tu móvil

El objetivo inédito: tus notas personales

Cómo protegerte ahora mismo

GTA VI filtrado: 100€ en consola y 70€ en PC - El precio más alto de la historia que cambiará la industria

Detenido hacker que pagaba 1 céntimo por hoteles de 1.000€/noche: Cómo manipuló la pasarela de pago

Anonymous Fénix cae: 4 detenidos por ataques DDoS a ministerios tras DANA Valencia 2024

Cuánta agua y luz consume la IA: Google gasta 31.000 millones de litros al año (datos reales 2026)

Perseus: el malware en apps IPTV que roba tu banco y vacía tus notas

Las apps infectadas: el gancho del fútbol gratis

El arsenal de Perseus: qué puede hacer en tu móvil

El objetivo inédito: tus notas personales

Cómo protegerte ahora mismo

Te puede interesar