Die neue Android-Banking-Malware Perseus stellt eine erhebliche Gefahr für Smartphone-Nutzer dar. Das Schädlingsprogramm ist eine Weiterentwicklung der bekannten Cerberus- und Phoenix-Malware-Familien, die mit erweiterten Funktionen zur Geräteübernahme ausgestattet wurde. Sicherheitsforscher von ThreatFabric haben die aktuelle Bedrohung analysiert und dokumentiert.
Die Verbreitungsstrategie von Perseus ist besonders tückisch: Die Malware tarnt sich als legitime IPTV-Streaming-Anwendung und wird über Phishing-Websites verbreitet. Dies spricht gezielt Nutzer an, die nach kostenlosen Premium-Streaming-Diensten suchen. Durch diese Täuschung erhöht sich die Infektionsrate erheblich, da Nutzer die Malware bewusst installieren.
Einmal auf dem Gerät installiert, nutzt Perseus das Android-Accessibility-Feature, um sich weitreichende Berechtigungen zu sichern. Anschließend kann das Malware-Netzwerk vollständige Kontrolle über das infizierte Smartphone übernehmen. Dies ermöglicht Echtzeit-Überwachung und präzise Interaktion mit dem Gerät – ein Phänomen, das Sicherheitsexperten als Remote Session-Hijacking bezeichnen.
Ein besonders innovatives und besorgniserregendes Feature unterscheidet Perseus von bisherigen Banking-Trojanern: Die Malware überwacht aktiv Notizen-Apps und andere Speicherorte für persönliche Daten. Dies deutet darauf hin, dass Cyberkriminelle gezielt hochwertige finanzielle oder personenbezogene Informationen sammeln möchten.
Die technische Analyse zeigt, dass Perseus auf raffinierte Erkennungsvermeidungstechniken setzt. Das Malware-Programm führt umfangreiche Umgebungsprüfungen durch, um Debugger, Analyse-Tools wie Frida und Xposed sowie Emulator-Umgebungen zu erkennen. Es überprüft zudem SIM-Karten-Status, App-Anzahl und Batterie-Werte. Aus diesen Daten errechnet das System einen Verdachtsscore, der an die Command-and-Control-Zentrale (C2) übermittelt wird. Diese entscheidet dann, ob und wie die Malware aktiv wird.
Wie typische Android-Banking-Trojaner führt Perseus Overlay-Attacken durch und erfasst Tasteneingaben in Echtzeit. Dies ermöglicht den Diebstahl von Zugangsdaten und die Durchführung unauthorisierter Finanztransaktionen. Durch den C2-Panel können Angreifer Befehle ferngesteuert ausführen und Geldtransfers autorisieren.
ThreatFabric vermutet, dass Malware-Entwickler bei der Programmierung von Perseus ein großes Sprachmodell (LLM) verwendet haben. Dies basiert auf Indikatoren wie umfangreichem App-Logging und Emoji-Verwendung im Quellcode.
Das Malware-Netzwerk konzentriert sich derzeit auf die Türkei, Italien, Polen, Deutschland, Frankreich, die Vereinigten Arabischen Emirate und Portugal. Deutsche Nutzer sollten daher besondere Vorsicht walten lassen und keine APK-Dateien aus unsicheren Quellen installieren. Offizielle App-Stores bieten besseren Schutz vor solchen Schädlingen.