Perseus tarnt sich als IPTV-App, wie sie häufig zum Streamen raubkopierter Inhalte genutzt wird. Eine der Anwendungen, die die Malware ausliefert, trägt den Namen Roja Directa TV – ein bekannter Sport-Streaming-Dienst, der bereits Ziel von Urheberrechtsklagen und Abschaltaktionen war. Laut ThreatFabric ist diese Masche in den vergangenen acht Monaten aufgekommen, weil Nutzer nach kostenlosen oder günstigen Wegen suchen, um Live-Sportübertragungen zu sehen. In einer jüngeren Kampagne diente derselbe IPTV-Köder bereits der Verbreitung der Android-Banking-Malware Massiv.
Der Dropper, der Perseus ausliefert, umgeht die Installationsbeschränkungen ab Android 13 und ist nach Angaben der Forscher derselbe, der auch die Schadprogramme Klopatra und Medusa verteilt. Perseus selbst baut laut ThreatFabric gezielt auf dem Phoenix-Code auf, der wiederum aus dem vor knapp sechs Jahren geleakten Cerberus-Code hervorgegangen ist.
Die Malware existiert in zwei Versionen: einer türkischen und einer verfeinerten englischen Variante mit besserem Debugging und zusätzlichen Komfortfunktionen. Die englische Version enthält umfangreiche Protokollierung und Emojis im Code – für die Forscher ein deutliches Indiz, dass bei der Entwicklung KI-Werkzeuge zum Einsatz kamen.
Der Schwerpunkt auf der Türkei zeigt sich auch in der Liste der angegriffenen Finanzinstitute: 17 Ziele entfallen auf das Land, gefolgt von Italien mit 15, Polen mit 5, Deutschland mit 3 und Frankreich mit 2. Hinzu kommen neun anvisierte Kryptowährungs-Apps.
Das auffälligste Merkmal von Perseus richtet sich gegen Notiz-Apps, darunter Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote und Simple Notes. Die englische Variante nutzt die Bedienungshilfen, um diese Apps nacheinander zu öffnen und die einzelnen darin gespeicherten Notizen zu durchsuchen. „Während sich viele Android-Malware-Familien vor allem auf das Abgreifen von Zugangsdaten oder das Abfangen von Kommunikation konzentrieren, zeigt diese Funktion ein breiteres Interesse an kontextbezogenen und persönlich gepflegten Daten“, heißt es im Bericht von ThreatFabric. Notizen enthielten oft sensible Angaben wie Passwörter, Wiederherstellungsphrasen oder Finanzdaten und seien damit ein lohnendes Ziel.
Bevor Perseus auf einem Gerät aktiv wird, führt die Malware umfangreiche Prüfungen zur Abwehr von Analysen durch. Dazu gehören Root-Erkennung, Emulator-Fingerabdrücke, SIM-Angaben, Hardwareprofil, Akkudaten, das Vorhandensein von Bluetooth, die Anzahl installierter Apps und die Verfügbarkeit der Google Play Services. Daraus errechnet sie einen „Verdachtswert“, den sie an das Command-and-Control-Panel übermittelt. Anhand dieses Werts entscheidet der Betreiber, ob der Datendiebstahl fortgesetzt wird.
Nutzern wird empfohlen, keine APK-Dateien aus fragwürdigen Quellen zu installieren, Streaming-Apps nur aus dem offiziellen Google Play Store zu beziehen sowie Play Protect aktiv zu halten und damit regelmäßig nach bekannten Bedrohungen zu suchen.
