Neue Bedrohung durch Trojaner auf Android-Geräten
Perseus: Android-Malware sucht Daten in Notizen-Apps
Sicherheitsforscher berichten über eine neue Android-Schadsoftware namens „Perseus“. Sie nutzt die Android-Bedienungshilfen für Remote-Kontrolle und durchsucht Notiz-Apps nach sensiblen Daten.
Die Sicherheitsforscher von ThreatFabric haben eine neue Android-Schadsoftware namens Perseus entdeckt, die auf den Codebasen der bekannten Trojaner Cerberus und Phoenix aufbaut. Die Malware soll bestehende Funktionen übernehmen und gezielt erweitern, um sich an aktuelle Sicherheitsmechanismen anzu...
Die Sicherheitsforscher von ThreatFabric haben eine neue Android-Schadsoftware namens Perseus entdeckt, die auf den Codebasen der bekannten Trojaner Cerberus und Phoenix aufbaut. Die Malware soll bestehende Funktionen übernehmen und gezielt erweitern, um sich an aktuelle Sicherheitsmechanismen anzupassen. Sie nutzt Android-Bedienungshilfen, um umfassende Kontrolle über infizierte Geräte zu erlangen und gezielt Daten zu stehlen.
Fernsteuerung und Geräteübernahme
Perseus soll umfangreiche Funktionen zur Fernsteuerung infizierter Geräte bieten. Über die Android-Accessibility-Dienste kann die Schadsoftware Bildschirminhalte erfassen und in nahezu Echtzeit an einen Kontrollserver übertragen.
Zusätzlich kann sie Benutzeroberflächen analysieren und gezielt mit ihnen interagieren. Dadurch können Angreifer Eingaben simulieren und Transaktionen durchführen. Auch klassische Methoden wie Overlay-Angriffe und Keylogging kommen zum Einsatz.
Fokus auf sensible Nutzerdaten
Perseus ist außerdem darauf programmiert, gezielt Inhalte aus Notiz-Apps auslesen. Die Malware überprüft demnach installierte Anwendungen und öffnet automatisiert gespeicherte Notizen, um deren Inhalte auszulesen. Wenn Nutzer in Notizen-Apps sensible Daten wie Passwörter, PINs oder Recovery-Phrases zwischenspeichern, erhalten die Angreifer also Zugriff darauf.
Verbreitung über IPTV-Apps
Nach Erkenntnissen der Forscher wird Perseus vor allem über Anwendungen verbreitet, die sich als IPTV-Dienste ausgeben. Da derartige Apps ohnehin häufig außerhalb offizieller App-Stores zur Verfügung gestellt werden, könnten Nutzer weniger Verdacht schöpfen, wenn eine App als APK-Download angeboten wird. Dadurch kann die Eintrittshürde für Schadsoftware sinken.
Die Angreifer setzen außerdem auf sogenannte Dropper-Apps, um die Einschränkungen neuerer Android-Versionen beim Sideloading zu umgehen. Die eigentliche Malware wird dann im Nachhinein geladen. Diese Verteilungsstrategie wurde auch bei anderen Malware-Familien beobachtet.
Starke Schutzmechanismen gegen Analyse
Um einer Entdeckung zu entgehen, soll Perseus umfangreiche Prüfmechanismen einsetzen. Dazu zählen unter anderem die Erkennung von Analysewerkzeugen sowie die Überprüfung von Systemmerkmalen.
Die Malware analysiert laut Bericht unter anderem SIM-Karten, installierte Apps, Hardwareeigenschaften und Systemkonfigurationen. Ziel sei es, Emulatoren oder Testumgebungen zu erkennen und die Ausführung dort zu vermeiden.
Gezielte Kampagnen in Europa
Die beobachteten Kampagnen richten sich laut den Forschern insbesondere an Nutzer in der Türkei und Italien. Darüber hinaus wurden auch Ziele in weiteren europäischen Ländern identifiziert. Die Auswahl der angegriffenen Institutionen deutet auf einen Schwerpunkt im Finanzbereich hin, ergänzt durch Aktivitäten im Bereich von Kryptowährungen.
Schutz vor der Malware
Für Anwender ist es entscheidend, sich der Risiken bewusst zu sein, die insbesondere von Apps ausgehen, die außerhalb des Google Play Stores installiert werden. Nutzer sollten daher darauf achten, nur vertrauenswürdige Quellen zu verwenden und die Berechtigungen von Apps regelmäßig zu überprüfen. Außerdem sollten sensible Daten wie Passwörter nicht im Klartext als Notiz gespeichert werden. Stattdessen empfiehlt sich der Einsatz von verschlüsselten Passwort-Managern.
