Die Verbreitung von Perseus erfolgt über eine bekannte Schwachstelle in der User-Experience: Die Malware wird in Apps verpackt, die IPTV-Dienste (Internet Protocol Television) anbieten. Diese Programme sind nicht nur für legales Streaming gedacht, sondern werden häufig für Raubkopien von Filmbestand genutzt. Anwender laden solche Apps bewusst aus inoffiziellen Quellen herunter, da sie nicht im Google Play Store verfügbar sind. Diese Gewöhnung an manuelle Installation von Apps erhöht die Wahrscheinlichkeit, dass Nutzer verdächtige Apps installieren, ohne den Prozess als unsicher wahrzunehmen.
Nach der Installation beginnt Perseus umgehend mit der Überwachung von Geräteaktivitäten. Das Malware nutzt Overlay-Attacken, um gefälschte Login-Screens über legitimen Anwendungen einzublenden. Gleichzeitig zeichnet ein integrierter Keylogger jeden Tastendruck auf — inklusive der eingegeben Passwörter und Zugangsdaten.
Das Besondere an Perseus ist jedoch sein Fokus auf Notiz-Anwendungen. Das Malware-Programm scannt infizierte Geräte systematisch nach Apps wie Google Keep, Evernote und Simple Notes, öffnet diese und extrahiert den gesamten Inhalt. Gerade Notiz-Apps sind eine ideale Datenquelle für Cyberkriminelle, da Nutzer dort oft sensible Informationen wie Bankverbindungen, Sicherheitsfragen und sogar Recovery-Phrasen für Kryptowährung-Wallets speichern.
ThreatFabric warnt, dass Android-Malware sich ständig weiterentwickelt. Im Oktober identifizierten Forscher bereits weitere Trojaner wie Herodotus, der menschliches Verhalten nachahmt um Sicherheitsmechanismen zu umgehen. Das Malware Crocodilus kann sogar Kontaktlisten manipulieren, um sich als vertraute Institutionen wie Banken auszugeben.
Für deutsche Nutzer gelten die gleichen Sicherheitsmaßnahmen: Apps sollten nur aus dem Google Play Store installiert werden, regelmäßige Sicherheitsupdates sind essentiell, und sensible Daten gehören nicht in Standard-Notiz-Apps. Sicherheitssoftware bietet zusätzlichen Schutz gegen solche Bedrohungen.