Ein neu entdeckter Android-Banking-Trojaner namens Perseus verschiebt den Fokus klassischer Kontodaten-Diebstähle: Neben dem Angriff auf Banking- und Krypto-Apps durchsucht die Malware gezielt Notizen-Anwendungen auf dem Smartphone und extrahiert dort gespeicherte Passwoerter, Seed-Phrasen und Finanzinformationen. Dieser Ansatz trifft ein weit verbreitetes Fehlverhalten vieler Nutzer, die sensible Daten in einfachen Notizen statt in Passwortmanagern ablegen.
Verbreitung ueber piratische IPTV-Apps und inoffizielle APK-Quellen
Perseus wird aktuell vor allem ueber inoffizielle Android-App-Stores und manuell installierte APK-Dateien verteilt. Als Koeder dienen Anwendungen, die kostenlose oder grauzonige IPTV-Streams versprechen – insbesondere Live-Sport-Inhalte, die Nutzer sonst nur im Pay-TV erhalten wuerden.
Ein dokumentierter Dropper tarnt sich etwa als „Roja Directa TV“, ein Name, der Streaming-affinen Nutzern bekannt vorkommt. Wer solche Angebote nutzt, ist sich haeufig bewusst, dass es sich nicht um offizielle Apps handelt – und ignoriert Warnungen von Google Play Protect oder dem Android-Sicherheitsdialog beim Sideloading. Genau dieses Verhalten ermoeglicht Perseus den Einstieg auf das Geraet.
Technischer Hintergrund: Ableger von Phoenix und Cerberus
Code-Analysen zeigen, dass Perseus auf der Schadsoftware-Familie Phoenix basiert, die wiederum aus dem vor einigen Jahren geleakten Quellcode des Banking-Trojaners Cerberus hervorgegangen ist. In der Android-Malware-Oekosystem ist dies ein typisches Muster: Einmal oeffentlich gewordene Codebasen werden von verschiedenen Gruppen ueber Jahre hinweg weiterentwickelt und mit neuen Funktionen angereichert.
Der Perseus-Dropper kann Restriktionen fuer die Installation aus unbekannten Quellen unter Android 13 und hoeher umgehen. Aehnliche Komponenten wurden zuvor zur Auslieferung anderer Banking-Trojaner wie Klopatra und Medusa genutzt – ein Hinweis auf infrastrukturelle Ueberschneidungen oder Tool-Sharing zwischen Gruppen.
Zielsektoren: Banken in Europa und Krypto-Anwendungen
Die aktuelle Kampagne von Perseus richtet sich in erster Linie gegen den finanziellen Sektor in Europa. Nach Angaben von ThreatFabric stehen im Fokus vor allem Institute in der Tuerei (17 anvisierte Banking-Apps) und Italien (15), daneben Banken in Polen (5), Deutschland (3) und Frankreich (2). Parallel nimmt die Malware neun Krypto- und Wallet-Anwendungen ins Visier – ein klares Indiz fuer das anhaltende Interesse von Cyberkriminellen an digitalen Vermoegenswerten und Recovery-Seed-Phrasen.
Missbrauch von Android Accessibility Services und Remote-Kontrolle
Perseus nutzt umfassend die Android Accessibility Services, ein eigentlich fuer Barrierefreiheit vorgesehenes System-Feature. Gelingt es dem Trojaner, diese Rechte zu erlangen, kann er:
- Nutzeraktionen wie Klicks, Scrollen und Texteingaben simulieren,
- Bildschirminhalte auslesen und so Einmalcodes oder sensible Daten abgreifen,
- Zwei-Faktor-Authentifizierung (2FA) in Banking- und Finanz-Apps unterlaufen,
- das infizierte Geraet aus der Ferne durch einen Operator steuern.
Dieser Missbrauch ist seit Jahren ein bevorzugtes Mittel von Banking-Trojanern. Perseus kombiniert ihn jedoch mit einem neuen Vektor: der systematischen Auswertung von Notizen-Apps.
Gezielter Datenzugriff auf Notizen-Apps: ein neuer Angriffsvektor
Eine Besonderheit von Perseus ist die Faehigkeit, beliebte Notizen-Anwendungen zu erkennen, automatisch zu oeffnen und deren Inhalte ueber Accessibility Services zu analysieren. Betroffen sind unter anderem Google Keep, Samsung Notes, Xiaomi Notes, ColorNote, Evernote, Microsoft OneNote und Simple Notes.
Die englischsprachige Variante des Trojaners arbeitet dabei schrittweise alle installierten Notizen-Apps ab, scrollt durch die Listen einzelner Eintraege und liest deren Inhalte aus. Nach Einschaetzung der Analysten ist dies das erste dokumentierte Mal, dass ein Android-Banking-Trojaner systematisch Notizen-Anwendungen durchsucht. In der Praxis finden Angreifer dort haeufig unverschluesselt hinterlegte PINs, Passwoerter, Kreditkartendaten oder Seed-Phrasen fuer Krypto-Wallets.
Zwei Sprachvarianten und Hinweise auf KI-gestuetzte Entwicklung
Von Perseus wurden bisher zwei Sprach-Builds identifiziert: eine tuerkische und eine englische Version. Die englische Ausfuehrung zeigt einen hoeheren Reifegrad, etwa durch erweiterte Logging-Funktionen und zusaetzliche Hilfsroutinen. Auffaellig sind dabei zahlreiche, teils mit Emojis versehene Log-Meldungen im Code, was auf den Einsatz von Code-Assistenzwerkzeugen mit KI-Unterstuetzung hindeuten koennte – ein Trend, der die Entwicklung komplexer Malware weiter beschleunigt.
Anti-Analyse, „Suspicion Score“ und selektive Aktivierung
Bevor Perseus seinen vollen Funktionsumfang entfalt, fuehrt der Trojaner eine umfassende Umgebungsanalyse durch. Geprueft werden unter anderem Root-Status, Emulator-Indikatoren, SIM-Parameter, Hardware-Profil, Akkuzustand, Vorhandensein eines Bluetooth-Moduls, Anzahl installierter Apps sowie die Verfuegbarkeit der Google Play Services.
Aus diesen Parametern berechnet die Malware einen „Suspicion Score“ (Verdachtswert), der an den Command-and-Control-Server uebermittelt wird. Auf Basis dieses Werts entscheidet ein menschlicher Operator, ob sich ein weitergehender Angriff auf das jeweilige Geraet lohnt. Dieses Vorgehen reduziert das Risiko, in Sicherheitslaboren oder Sandbox-Umgebungen entdeckt zu werden, und schont gleichzeitig die Ressourcen der Angreifer.
Best Practices: So lassen sich Android-Geraete vor Perseus schuetzen
Perseus fuehrt deutlich vor Augen, dass Notizen-Apps kein sicherer Speicherort fuer Geheimnisse sind. Um das Risiko einer Kompromittierung zu minimieren, sollten insbesondere folgende Massnahmen umgesetzt werden:
- Verzicht auf inoffizielle APKs: Keine Installation von Apps aus Drittquellen, insbesondere von piratischen IPTV- oder Streaming-Anwendungen.
- Strikte Vergabe von Accessibility-Rechten: Nur vertrauenswuerdigen, bekannten Anwendungen Zugriff auf Accessibility Services einraeumen und Berechtigungen regelmaessig pruefen.
- Keine Passwoerter und Seed-Phrasen in Notizen: Stattdessen Passwortmanager mit durchgehender Verschluesselung und, falls moeglich, Hardware-basierten Sicherheitsfunktionen nutzen.
- Regelmaessige Updates: Android-Betriebssystem und alle Apps konsequent aktuell halten, um bekannte Schwachstellen zu schliessen.
- Mobile-Security-Loesungen einsetzen: Serioese Sicherheits-Apps von etablierten Anbietern installieren und regelmaessige Scans durchfuehren.
Die Fokuserweiterung von Banking-Trojanern wie Perseus auf scheinbar harmlose Notizen-Apps zeigt, wie schnell sich Angreifer an reale Nutzergewohnheiten anpassen. Je mehr vertrauliche Informationen auf Smartphones konzentriert werden, desto attraktiver werden diese Geraete fuer professionelle Cyberkriminelle. Nutzer und Unternehmen sollten ihre Strategien zur Sicherung mobiler Endgeraete ueberdenken, den Einsatz von Passwortmanagern und starken Authentifizierungsverfahren ausbauen und jede manuell installierte App kritisch hinterfragen – insbesondere, wenn sie „kostenlose Inhalte“ ausserhalb offizieller Stores verspricht.
