Cerberus wurde von der niederländischen Mobile-Security-Firma ThreatFabric erstmals im August 2019 dokumentiert. Schon damals fiel auf, dass die Malware den Bedienungshilfen-Dienst von Android missbrauchte, um sich selbst zusätzliche Berechtigungen zu verschaffen und über gefälschte Overlay-Bildschirme Zugangsdaten und sensible Daten zu stehlen. Nachdem der Quellcode 2020 durchgesickert war, entstanden mehrere Varianten, darunter Alien, ERMAC und Phoenix.
Nach der Analyse von ThreatFabric erweitert Perseus die Codebasis von Phoenix. Die Angreifer haben bei der Entwicklung vermutlich ein großes Sprachmodell (LLM) zu Hilfe genommen – darauf deuten Indizien wie umfangreiche Protokollierung innerhalb der App und Emojis im Quellcode hin.
Ähnlich wie die kürzlich beschriebene Android-Malware Massiv tarnt sich Perseus als IPTV-Dienst. Damit zielt sie auf Nutzer, die solche Apps per Sideload installieren wollen, um Premium-Inhalte zu sehen. Kampagnen mit der Malware richteten sich vor allem gegen die Türkei, Italien, Polen, Deutschland, Frankreich, die Vereinigten Arabischen Emirate und Portugal. Laut ThreatFabric senkt die Einbettung der Schadfracht in diesen erwarteten Kontext das Misstrauen der Nutzer und erhöht die Erfolgsquote der Infektionen, da sich die schädliche Aktivität in ein verbreitetes Vertriebsmodell für derartige Dienste einfügt.
Ist Perseus erst einmal aktiv, verhält es sich wie andere Android-Banking-Malware: Es startet Overlay-Angriffe, zeichnet Tastatureingaben auf, fängt Nutzereingaben in Echtzeit ab und blendet gefälschte Oberflächen über Finanz-Apps und Kryptowährungsdiensten ein, um Zugangsdaten abzugreifen. Über ein Command-and-Control-Panel (C2) kann der Betreiber zudem aus der Ferne Befehle erteilen sowie betrügerische Transaktionen durchführen und freigeben.
Bemerkenswert ist die Tarnung gegenüber Analysewerkzeugen: Perseus führt zahlreiche Umgebungsprüfungen durch, um Debugger und Analysewerkzeuge wie Frida und Xposed zu erkennen. Außerdem prüft die Malware, ob eine SIM-Karte eingesetzt ist, wie viele Apps installiert sind und ob diese Zahl auffällig niedrig ausfällt, und sie kontrolliert die Akkuwerte, um sicherzustellen, dass sie auf einem echten Gerät läuft. Aus all diesen Informationen errechnet Perseus einen Gesamt-Verdachtswert, der an das C2-Panel übermittelt wird. Auf dieser Grundlage wird entschieden, wie weiter vorgegangen wird und ob der Betreiber den Datendiebstahl tatsächlich starten soll.
Laut ThreatFabric zeigt Perseus, wie moderne Bedrohungen auf etablierten Familien wie Cerberus und Phoenix aufsetzen und gezielte Verbesserungen einführen, statt gänzlich neue Konzepte zu schaffen. Die Bandbreite der Fähigkeiten – von der auf Bedienungshilfen gestützten Fernsteuerung über Overlay-Angriffe bis zur Überwachung von Notizen – belege ein klares Ziel: sowohl die Interaktion mit dem Gerät als auch den Wert der gesammelten Daten zu maximieren.
