Perseus markerer en ny og mer målrettet bølge av Android-banktrojanere, der angripere ikke bare går etter innlogginger, men også personlig kontekst fra notat-apper. Ifølge ThreatFabric brukes skadevaren i aktive kampanjer med fokus på full enhetsovertakelse og økonomisk svindel.
Det som skiller Perseus fra mange tidligere varianter, er kombinasjonen av klassiske banktrojaner-teknikker og dyp fjernstyring via Accessibility-misbruk. Operatørene kan styre skjermbilder, trigge handlinger på koordinatnivå, skjule aktivitet med svart skjerm og gjennomføre svindel i sanntid.
Skadevaren bygger videre på kodearven fra Cerberus og Phoenix…
Skadevaren bygger videre på kodearven fra Cerberus og Phoenix, men med oppdaterte funksjoner og tydelig regional målretting. Kampanjer er observert særlig mot brukere i Tyrkia og Italia, men også i flere europeiske markeder.
Et sentralt nytt signal er kommandoen `scan_notes`, som henter innhold fra populære notat-apper som Google Keep, Samsung Notes og OneNote. Det peker mot et skifte der angripere jakter fritekst med høy verdi, som fraser, engangskoder, økonomiske notater og andre sensitive opplysninger brukere ofte lagrer uten ekstra beskyttelse.
For virksomheter betyr dette at mobilrisiko må vurderes bredere enn bare bank-apper. Tiltak som strengere app-kontroll, begrenset sideloading, bedre MDM-policyer og opplæring rundt IPTV-/uoffisielle app-kilder blir mer kritisk når skadevarefamilier kombinerer finansiell svindel med datainnsamling fra flere app-typer.