Ein neuer schädlicher Schauspieler hat in das Android-Ökosystem geplatzt und, obwohl sein Name - Perseus - mag wie Mythologie klingen, was es tut ist rein technologisch und beunruhigend: es ist eine Malware-Familie konzentriert auf übernehmen das Gerät und stehlen hochwertige finanzielle und persönliche Informationen. Sicherheitsforscher haben dokumentiert, wie diese Bedrohung wiederverwendet und perfektioniert bekannte Techniken - geerbt von Familien wie Cerberus und Phoenix -, um den Angreifern fast vollständige Fernbedienung über infizierte Telefone bieten.
Die Zeichen, die Perseus identifizieren, ergeben sich nicht aus nichts: ihre Entwicklung basiert auf Codes und Methoden, die bereits in anderen schädlichen Projekten gesehen wurden, aber mit Verbesserungen, die darauf abzielen, Betrug effizienter zu machen. Um ihre Entwicklung zu verstehen, reicht es aus, die vom Unternehmen ThreatFabric veröffentlichte technische Analyse zu lesen, die detailliert erklärt, wie Perseus Fernsteuerungsfunktionen mit in gemeinsamen Anwendungen gespeicherten Anmeldeinformationen Diebstahl und Notenextraktionsmöglichkeiten kombiniert. Sie können diesen Bericht auf der Website des Unternehmens überprüfen ThirFabric und überprüfen Cerberus' Geschichte in seiner Forschungsdatei Hier..
Die Form der Verteilung, die Analytiker beobachtet haben, folgt einer bekannten Taktik: "Dropper"-Anwendungen, die legitime Dienste durchlaufen, in diesem Fall hauptsächlich IPTV-Plattformen, die Premium-Inhalte versprechen. Einige Benutzer auf der Suche nach Anwendungen außerhalb der offiziellen Läden Ende der Installation der Dropper, und von dort laden Sie die böswillige Last herunter, die Barrierefreiheit und andere leistungsfähige Berechtigungen fordert. Diese Strategie der Täuschung ist wirksam, weil sie auf dem normalen Verhalten des Benutzers basiert: Sideloading, um Multimedia-Inhalte zu sehen, die nicht im offiziellen Speicher sind.
Einmal im Gerät verwendet Perseus Androids Zugänglichkeitsservice, um zwei Schlüsselangriffstypen zu orchestrieren. Auf der einen Seite startet es "Überlay" oder überlappende Bildschirme, die Bankschnittstellen oder Kryptomoneda-Dienste simulieren, um Anmeldeinformationen zu dem Zeitpunkt zu erfassen, in dem der Benutzer sie einführt. Auf der anderen Seite startet es Remote-Sessions, die es dem Angreifer ermöglichen, den Bildschirm in Echtzeit zu sehen und sogar mit ihm zu interagieren: Einschalten oder stoppen Sie diesen visuellen Stream, nehmen Sie Fänge, simulieren Sie Berührungen in bestimmten Koordinaten, offenen Anwendungen oder Kraftanlagen von unbekannten Herkunft. Außerdem, Malware fügt bemerkenswerte Funktionalität: die Fähigkeit, Notizanwendungen zu überprüfen wie Google Keep oder Evernote, um sensible Daten zu extrahieren, die Nutzer dort normalerweise speichern (Passwörter, Schlüssel, Codes, Finanzhinweise).
Die für den Fernbediener verfügbaren Werkzeuge sind kein Zubehör: Sie erlauben es, eine VNC-Sitzung fast in Echtzeit zu starten, um Befehle zu senden, die kriminelle Aktivitäten verbergen - zum Beispiel einen schwarzen Bildschirm anzeigen, so dass das Opfer nicht sieht, was geschieht - oder betrügerische Transaktionen programmatisch autorisieren. Diese Aktionen werden von einem Bedienfeld (C2) gesteuert, das es erleichtert, Angriffe automatisiert und an jedes Ziel angepasst zu werden.
Perseus hat auch ein Interesse an der Vermeidung von forensischen Analyse und Laborumgebungen gezeigt: Es führt Kontrollen zur Erkennung von Instrumentierungsgerüsten wie Frida oder Xposed, überprüft das Vorhandensein einer SIM-Karte, die Anzahl der installierten Anwendungen und die Batterielast. Mit diesen Indikatoren berechnet sie eine "Sendite"-Score, die sie an ihre Kontrollzentrale sendet, um zu entscheiden, ob sie mit Datendiebstahl fortfahren oder die Operation abbrechen soll. Dieser Ansatz reduziert die Exposition und verbessert die Wirksamkeit von Betrug.
Ein weiteres neugieriges Feature im Code ist das Vorhandensein von Spuren, die darauf hindeuten, dass Entwickler auf Sprachmodelle angewiesen haben könnten, um Teile der Entwicklung zu beschleunigen, etwas, das durch umfangreiche Aufzeichnungen in der App und kleine stilistische Marken im Quellcode belegt wurde. Die Familie Phoenix war bereits in früheren Analysen dokumentiert worden und es gibt technische Diskussionen über die Entwicklung dieser Familien; eine Analyse von Phoenix, die diese Entwicklung kontextualisieren hilft, kann in der Veröffentlichung konsultiert werden Mittel von Analysten zitiert.
Die von ThreatFabric gemeldeten Angriffe hatten einen geografischen Schwerpunkt: Die Türkei und Italien stehen als vorrangige Ziele, obwohl Kampagnen, die die Nutzer in Polen, Deutschland, Frankreich, den Vereinigten Arabischen Emiraten und Portugal betroffen haben, identifiziert wurden. Das IPTV-Anwendungsverteilungsmuster ermöglicht Angreifern, in eine Nische von Benutzern mit einer höheren Wahrscheinlichkeit von Sideloading zu gelangen.
Wenn Sie sich fragen, wie Sie sich schützen, gibt es praktische Maßnahmen, die das Risiko stark reduzieren. Zunächst vermeidet es die Installation von Anwendungen aus unzuverlässigen Quellen; die Installation außerhalb des offiziellen Speichers ist der häufigste Vektor für diese Art von Familie. Halten Sie das Betriebssystem und die Apps aktuell, überprüfen Sie die Genehmigungen, die Zugang zu sensiblen Dienstleistungen (insbesondere Zugänglichkeit) geben und aktivieren Sie zusätzliche Schutzmechanismen wie zweistufige Überprüfung für Ihre Bank- und Postkonten. Google bietet Informationen zum Anwendungsschutz und Play Protect in seinem Hilfezentrum Spielen Schutz und die britische nationale Cybersicherheitsstelle veröffentlicht praktische Empfehlungen zur Sicherheit des Mobilgerätes, die bei der NCSC.
Wenn Sie glauben, dass Ihr Telefon durch eine ähnliche Bedrohung beeinträchtigt worden ist, ist es sicher, den Zugriff des Angreifers so schnell wie möglich zu schneiden: Trennen von Diensten, widerrufen Berechtigungen von Einstellungen, führen Sie einen Scan mit einer erkannten Anti-Malware-Lösung und, wenn Fernbedienungszeichen bestehen bleiben, sichern Sie die Daten und führen eine Fabrikrestauration. Es ist auch angebracht, die Bank oder den Finanzanbieter zu benachrichtigen und Passwörter von einem sauberen Gerät zu ändern. Um die digitale Hygiene langfristig zu verbessern, bieten Ressourcen wie das OWASP-Projekt mobile Sicherheitsführer an, die gemeinsame Bedrohungen und bewährte Praktiken verstehen: OWASP Mobil.
Perseus erfindet nicht völlig neue Angriffe, sondern zeigt, wie Malware-Entwickler bekannte Werkzeuge mit taktischen Verbesserungen kombinieren, um mehr Wert aus dem infizierten Gerät zu drücken. Die Lektion für Nutzer und Organisationen ist klar: Schwachstellen sind nicht nur in der Software, sondern in Gewohnheiten; die Verringerung des Risikos hängt sowohl von technischen Kontrollen als auch von Tagesentscheidungen bei der Installation und Erteilung von Genehmigungen für Anwendungen ab.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...