MalwareDatenschutzSchwachstellen

Perseus: Android-Malware durchsucht Notizen nach Passwörtern und sensiblen Daten

Perseus: Android-Malware durchsucht Notizen nach Passwörtern und sensiblen Daten
Zusammenfassung

Die neue Android-Malware Perseus stellt eine bemerkenswerte Bedrohung dar, da sie erstmals gezielt Notizen-Apps auf Smartphones durchsucht, um sensible Informationen wie Passwörter, Wiederherstellungsphrasen oder Finanzdetails zu stehlen. Die Schadsoftware wird über inoffizielle App-Stores als IPTV-Anwendungen verbreitet – eine Taktik, die von Nutzern ausgeht, die kostenlose oder günstige Streaming-Dienste suchen und daher eher bereit sind, APK-Dateien außerhalb des Google Play Store zu installieren. Die Forscher von ThreatFabric haben festgestellt, dass Perseus hauptsächlich Finanzinstitute in der Türkei und Italien sowie Kryptowährungsdienste ins Visier nimmt, doch auch Nutzer in Deutschland, Polen und Frankreich könnten betroffen sein. Die Malware nutzt Androids Accessibility Services, um vollständige Kontrolle über infizierte Geräte zu erlangen und Screenshots zu erstellen. Besonders bemerkenswert ist, dass die englische Variante Hinweise auf den Einsatz von KI-Tools bei der Entwicklung aufweist. Für deutsche Nutzer und Unternehmen bedeutet dies, dass seitliches Laden von Apps erhebliche Sicherheitsrisiken birgt und dass vertrauliche Informationen in Notizen-Apps nicht sicher sind, wenn ein Gerät kompromittiert wurde.

Die Malware Perseus stellt eine neue Qualität der Bedrohung dar, da sie erstmals gezielt in persönliche Notizbuch-Apps eindringt und nach kompromittierenden Informationen sucht. Laut den ThreatFabric-Forschern ist dies das erste Mal, dass ein Android-Malware-Programm diese Taktik verfolgt. “Während viele Android-Malware-Familien sich hauptsächlich auf die Ernte von Anmeldedaten oder das Abhören von Kommunikation konzentrieren, zeigt diese Funktion ein breiteres Interesse an kontextbezogenen und persönlich kuratiert gespeicherten Daten,” heißt es im Bericht.

Die Malware-Entwickler haben besonders auf sieben beliebte Notiz-Apps abgesehen: Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote und Simple Notes. Die englische Variante von Perseus nutzt Accessibility Services, um diese Apps nacheinander zu öffnen und die darin gespeicherten Notizen systematisch zu durchsuchen.

Die Verbreitung erfolgt über eine raffinierte Methode: Perseus wird als populäre IPTV-App namens Roja Directa TV getarnt. Diese Strategie nutzt die wachsende Nachfrage von Nutzern, die kostenlos oder günstig Live-Sportveranstaltungen streamen möchten. Indem Nutzer APKs von außerhalb des Google Play Store installieren, ignorieren viele bewusst oder unbewusst die Sicherheitswarnungen ihrer Geräte – genau worauf die Angreifer zählen.

Forschern zufolge basiert Perseus auf dem Phoenix-Codebase, der selbst wieder vom vor fast sechs Jahren geleakten Cerberus-Code abstammt. Das Programm existiert mindestens in zwei Versionen: eine türkische und eine verfeinerte englische Variante. Die englische Version enthält umfangreiches Logging und Emojis im Code – ein starker Hinweis darauf, dass KI-Tools bei der Entwicklung zum Einsatz kamen.

Die geografische Verteilung der Ziele ist eindeutig: 17 Finanzinstitute in der Türkei, 15 in Italien, fünf in Polen, drei in Deutschland und zwei in Frankreich stehen auf der Liste. Hinzu kommen neun Ziele im Kryptowährungs-Bereich.

Vor der Ausführung führt Perseus umfangreiche Sicherheitsüberprüfungen durch. Das Programm prüft auf Jailbreaks, Emulatoren, SIM-Details, Hardware-Profile, Batteriestatus und die Verfügbarkeit von Google Play Services. Auf Basis dieser “Verdachtspunkte” entscheidet der Operator, ob der Datendiebstahl fortgesetzt wird.

Sicherheitsexperten raten Nutzern dringend ab, APKs aus zweifelhaften Quellen zu installieren. Stattdessen sollte nur der offizielle Google Play Store genutzt werden. Google Play Protect sollte aktiviert und regelmäßig für Scans verwendet werden.

Ähnliche Artikel