Perseus Banking Malware
Cybersicherheitsexperten haben eine neue Android-Malware-Familie namens Perseus Android Malware identifiziert, die aktiv im Umlauf ist, um Geräte zu übernehmen und Finanzbetrug zu begehen. Diese Bedrohung stellt eine bedeutende Weiterentwicklung mobiler Malware dar und kombiniert etablierte Techniken mit erhöhter operativer Flexibilität.
Inhaltsverzeichnis
Evolution aus bewährten Malware-Linien
Perseus basiert auf den Malware-Technologien Cerberus und Phoenix, beides bekannte Android-Banking-Trojaner. Cerberus, erstmals im August 2019 dokumentiert, missbrauchte die Barrierefreiheitsdienste von Android, um Berechtigungen zu erweitern, sensible Daten zu sammeln und Overlay-Angriffe zum Diebstahl von Zugangsdaten durchzuführen. Nach der Veröffentlichung des Quellcodes im Jahr 2020 entstanden zahlreiche Ableger, darunter Alien, ERMAC und Phoenix.
Perseus erweitert die Phoenix-Quellcodebasis und entwickelt sich zu einer anpassungsfähigeren und leistungsfähigeren Plattform. Indikatoren wie umfangreiche In-App-Protokollierung und ungewöhnliche Code-Artefakte deuten darauf hin, dass Angreifer während der Entwicklung möglicherweise auf große Sprachmodelle (LLM) zurückgegriffen haben.
Infektionsvektor: Social Engineering über IPTV-Anwendungen
Die Verbreitungsstrategie basiert maßgeblich auf Social Engineering. Perseus wird über Dropper-Anwendungen verbreitet, die auf Phishing-Websites gehostet werden und sich oft als IPTV-Dienste tarnen. Dieses Vorgehen ähnelt Kampagnen der Android-Malware Massiv, die Nutzer ins Visier nehmen, die unerlaubten Zugriff auf Premium-Streaming-Inhalte suchen.
Durch das Einbetten schädlicher Programme in scheinbar legitime IPTV-Apps verringern Angreifer das Misstrauen der Nutzer und erhöhen die Infektionsrate erheblich. Die Kampagne zielte vor allem auf Nutzer in verschiedenen Regionen ab, darunter die Türkei, Italien, Polen, Deutschland, Frankreich, die Vereinigten Arabischen Emirate und Portugal.
Malware-Bereitstellungskette und bekannte Artefakte
Im Verbreitungsökosystem von Perseus wurden mehrere Anwendungsgebiete identifiziert:
- Roja App Directa (com.xcvuc.ocnsxn) – Dropper-Anwendung
- TvTApp (com.tvtapps.live) – Primäre Perseus-Nutzlast
- PolBox TV (com.streamview.players) – Sekundäre Nutzlastvariante
Diese Anwendungen dienen als Einfallstor für die Installation der Schadsoftware auf kompromittierten Geräten.
Erweiterte Geräteübernahmefunktionen
Perseus nutzt die Android-Zugriffshilfen, um Fernsitzungen herzustellen und so die Echtzeitüberwachung und präzise Interaktion mit infizierten Geräten zu ermöglichen. Diese Funktionalität erlaubt die vollständige Übernahme des Geräts und gibt Angreifern weitreichende Kontrolle über die Benutzeraktivitäten.
Im Gegensatz zu herkömmlichen Banking-Trojanern beschränkt sich Perseus nicht nur auf das Abgreifen von Zugangsdaten, sondern überwacht aktiv Notiz-Apps. Dieses Verhalten deutet auf ein gezieltes Bestreben hin, wertvolle persönliche und finanzielle Informationen zu extrahieren, die möglicherweise nicht in herkömmlichen Zugangsdatenfeldern gespeichert sind.
Kernangriffstechniken: Überlagerung und Eingabeabfang
Sobald Perseus aktiv ist, nutzt es bekannte Techniken von Android-Banking-Malware. Es führt Overlay-Angriffe durch, um gefälschte Benutzeroberflächen über legitimen Banking- und Kryptowährungsanwendungen einzublenden und so Benutzerdaten in Echtzeit abzufangen. Zusätzlich wird die Tastatureingabe protokolliert, um sensible Daten während der Eingabe abzufangen.
Kommando- und Kontrolloperationen: Fernmanipulations-Framework
Die Schadsoftware wird über eine Command-and-Control-Infrastruktur (C2) gesteuert, die es den Angreifern ermöglicht, Befehle zu erteilen, das Geräteverhalten zu manipulieren und betrügerische Transaktionen zu autorisieren. Zu den wichtigsten unterstützten Befehlen gehören:
- Datenextraktion und Überwachung (z. B. Erfassung von Notizen aus Apps wie Google Keep, Evernote und Microsoft OneNote)
- Fernverwaltung von Sitzungen über VNC und HVNC für Echtzeit- oder strukturierte UI-Interaktion
- Screenshot-Erstellung mithilfe von Barrierefreiheitsdiensten
- Anwendungssteuerung, einschließlich des Startens von Apps oder des Aufhebens von Einschränkungen
- Täuschungstaktiken für Benutzer, wie z. B. schwarze Bildschirmüberlagerungen und Stummschaltung des Tons.
- Erzwungene Installation aus unbekannten Quellen und simulierte Benutzerinteraktionen
Dieser umfassende Befehlssatz ermöglicht es Angreifern, die Kontrolle über kompromittierte Geräte dauerhaft und verdeckt zu behalten.
Ausweichtaktiken und Umgebungsbewusstsein
Perseus nutzt fortschrittliche Anti-Analyse-Techniken, um einer Erkennung zu entgehen. Es führt umfassende Umgebungsprüfungen durch, darunter die Identifizierung von Debugging-Tools, die Überprüfung des Vorhandenseins einer SIM-Karte, die Analyse der Anzahl installierter Anwendungen und die Validierung von Akku-Metriken, um die Ausführung auf einem realen Gerät zu bestätigen.
Die Schadsoftware fasst diese Daten zu einem „Verdachtswert“ zusammen, der an den C2-Server übermittelt wird. Anhand dieses Wertes entscheiden die Betreiber, ob sie die Ausnutzung fortsetzen oder unentdeckt bleiben.
Strategische Implikationen: Effizienz durch Evolution
Perseus veranschaulicht die fortlaufende Entwicklung von Android-Malware, bei der neue Bedrohungen zunehmend auf bestehenden Frameworks aufbauen, anstatt von Grund auf neu entwickelt zu werden. Durch die Kombination der von Cerberus und Phoenix übernommenen Funktionen mit gezielten Erweiterungen, wie etwa der Überwachung von Notizen und einer verbesserten Fernsteuerung, erreicht Perseus ein ausgewogenes Verhältnis zwischen Effizienz und Innovation.
Dieser Ansatz spiegelt einen breiteren Trend in der Cyberkriminalität wider: die Priorisierung von Anpassungsfähigkeit, Skalierbarkeit und der Gewinnung hochwertiger Daten, wodurch moderne Malware-Kampagnen effektiver und schwieriger zu erkennen sind.
