So entfernen Sie Perseus von infizierten Geräten

Was für eine Art von Malware ist Perseus?

Perseus ist eine Android-Malware, die aus Teilen früherer Malware (wie Cerberus und Phoenix) entwickelt und um neue Funktionen erweitert wurde. Sie ermöglicht es Angreifern, ein infiziertes Gerät in Echtzeit zu überwachen und zu steuern. Die Malware verfügt über wirksame Schutzmechanismen, um der Erkennung und Analyse durch Sicherheitstools zu entgehen.

Perseus im Detail

Der Quellcode der ursprünglichen Malware, Cerberus, war 2020 durchgesickert, was es anderen Angreifern ermöglichte, ihn wiederzuverwenden und anzupassen. Dies führte zum Auftauchen neuer Malware-Familien wie Ermac und Phoenix. Perseus basiert hauptsächlich auf Phoenix. Es gibt zwei Versionen der Malware: eine ältere und eine neuere (die sich derzeit verbreitet).

In dem einen Code wird Englisch verwendet, im anderen Türkisch. Die englische Version verfügt über zusätzliche Entwicklungsfunktionen und wurde wahrscheinlich mithilfe künstlicher Intelligenz programmiert, während die türkische Version einfacher und versteckter ist.

Umgehung von Gerätebewertung und -analyse

Perseus überprüft das Gerät, um festzustellen, ob es sich um ein echtes Smartphone oder um eine Analyse- bzw. Sandbox-Umgebung handelt. Dabei wird nach Anzeichen wie Root-Zugriff, Debugging-Tools, Emulatoren oder gefälschten Geräteeinstellungen gesucht. Außerdem werden realistische Merkmale wie eine SIM-Karte, installierte Apps, Sensoren, das Akkuverhalten, Bluetooth und Google Play Services überprüft. Die Ergebnisse werden anschließend an Cyberkriminelle weitergeleitet, damit diese entscheiden können, ob es sich lohnt, das Gerät ins Visier zu nehmen.

Maßgeschneiderte Informationen

Perseus verfügt über eine Funktion, mit der es auf einem infizierten Gerät gespeicherte Notizen auslesen kann. Im Gegensatz zu typischer Malware, die sich auf den Diebstahl von Passwörtern oder Nachrichten konzentriert, zielt es auf persönliche Notizen ab, die sensible Informationen wie Passwörter oder Finanzdaten enthalten können. In einer Version nutzt es einen Befehl, der Notiz-Apps erkennt, diese öffnet und die gespeicherten Notizen durchsucht.

Zu den betroffenen Notiz-Apps gehören ColorNote Notepad Notes, Evernote – Notiz-Organizer, Google Keep – Notizen und Listen, Microsoft OneNote, Samsung Notes, Simple Notes, Simple Notes Pro und Xiaomi Notes (die Liste kann weitere Anwendungen enthalten). Um Informationen aus den Notizen zu stehlen, nutzt die Malware die Barrierefreiheitsfunktionen von Android.

Es kann sich in der betreffenden App bewegen, auf Elemente tippen und zurückgehen. So kann es Notiz-Apps öffnen, die Notizen lesen und die Informationen aufzeichnen, ohne dass der Nutzer dies bemerkt.

Weitere Funktionen

Perseus unterstützt verschiedene Befehle. Mit dieser Malware können Cyberkriminelle auf dem Bildschirm tippen, drücken, schreiben und wischen, Apps öffnen, zurückgehen und sich auf dem Smartphone bewegen (Startbildschirm, zuletzt geöffnete Apps, Scrollen, Gesten). Sie können außerdem Text in Felder eingeben, Text bearbeiten und sogar den Bildschirm aktivieren, wenn dieser ausgeschaltet ist.

Darüber hinaus können die Angreifer aus der Ferne die Kontrolle über das Gerät übernehmen, indem sie Live-Bildschirm-Sitzungen (VNC und HVNC) starten und beenden, sowie Screenshots erstellen, um zu sehen, was das Opfer gerade tut. Perseus ermöglicht es Angreifern zudem, ihre Aktivitäten zu verbergen, indem sie einen schwarzen Bildschirm anzeigen und den Ton stummschalten.

Darüber hinaus kann Perseus Apps sperren oder entsperren, Apps starten und den Nutzer sogar dabei unterstützen, Einstellungen wie die Installation von Apps aus unbekannten Quellen zu aktivieren. Es kann versuchen, das Gerät mithilfe von PINs zu entsperren oder Entsperrdaten abzurufen, und es kann Gesten aufzeichnen und wiedergeben.

Darüber hinaus kann die Malware Informationen stehlen, indem sie die Zwischenablage manipuliert und auf SMS-Berechtigungen zugreift. Sie kann Benachrichtigungen versenden, zusätzliche Funktionen laden oder entfernen und deren Status überprüfen.

Fazit

Perseus ist eine hochentwickelte Android-Malware, die die Kontrolle über ein Gerät übernehmen und sensible Daten stehlen kann. Ihre Fähigkeit, ihre Aktivitäten zu überwachen, zu steuern und zu verbergen, macht sie besonders gefährlich. Betroffene können unter anderem finanzielle Verluste erleiden oder Opfer von Identitätsdiebstahl werden. Sollte sich Perseus auf einem Gerät befinden, sollte sie unverzüglich entfernt werden.

Weitere Beispiele für Malware, die auf Android-Nutzer abzielt, sind BeatBanker, Massiv und PromptSpy.

Wie hat sich Perseus in mein Gerät eingeschleust?

Nutzer infizieren sich mit Perseus hauptsächlich durch das Herunterladen gefälschter IPTV-Apps von Plattformen außerhalb offizieller App-Stores wie Google Play. Diese Apps werden oft als APK-Dateien geteilt, die Nutzer manuell installieren, was die Verbreitung der Malware erleichtert.

Nach der Installation installiert es die Malware heimlich mithilfe eines Droppers, um die Sicherheitsvorkehrungen von Android zu umgehen.

Wie vermeidet man die Installation von Malware?

Laden Sie Apps und Software von vertrauenswürdigen Quellen wie offiziellen Websites oder App-Stores herunter und halten Sie Ihr Betriebssystem und Ihre Apps auf dem neuesten Stand. Klicken Sie nicht auf Pop-ups, Anzeigen oder Links auf verdächtigen Websites und akzeptieren Sie keine Benachrichtigungsanfragen von nicht vertrauenswürdigen Seiten.

Seien Sie vorsichtig bei unerwarteten E-Mails oder Nachrichten – öffnen Sie keine Links oder Anhänge, es sei denn, Sie sind sich sicher, dass diese unbedenklich sind. Verwenden Sie regelmäßig zuverlässige Sicherheitssoftware, um Ihr Gerät zu scannen und Bedrohungen zu erkennen oder zu entfernen.

Ein Dropper, der zur Verbreitung von Perseus verwendet wurde (Quelle: threatfabric.com):

Schnellmenü:

• Einleitung
• Wie löscht man den Browserverlauf im Chrome-Webbrowser?
• Wie deaktiviere ich Benachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie löscht man den Browserverlauf im Firefox-Webbrowser?
• Wie deaktiviere ich Benachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie deinstalliert man potenziell unerwünschte und/oder schädliche Anwendungen?
• Wie starte ich das Android-Gerät im „abgesicherten Modus“?
• Wie kann man den Akkuverbrauch verschiedener Anwendungen überprüfen?
• Wie kann man die Datennutzung verschiedener Apps überprüfen?
• Wie installiere ich die neuesten Software-Updates?
• Wie setzt man das System auf die Werkseinstellungen zurück?
• Wie deaktiviere ich Anwendungen mit Administratorrechten?

Browserverlauf im Chrome-Webbrowser löschen:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Verlauf“ aus.

Tippen Sie auf „Browsing-Daten löschen“, wählen Sie die Registerkarte „ERWEITERT“, wählen Sie den Zeitbereich und die Datentypen aus, die Sie löschen möchten, und tippen Sie auf „Daten löschen“.

[Zurück zum Inhaltsverzeichnis]

Browser-Benachrichtigungen im Chrome-Webbrowser deaktivieren:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Einstellungen“ aus.

Scrolle nach unten, bis du die Option „Website-Einstellungen“ siehst, und tippe darauf. Scrolle weiter nach unten, bis du die Option „Benachrichtigungen“ siehst, und tippe darauf.

Suchen Sie die Websites, die Browser-Benachrichtigungen senden, tippen Sie darauf und klicken Sie auf „Löschen & zurücksetzen“. Dadurch werden die Berechtigungen entzogen, die diesen Websites zum Senden von Benachrichtigungen erteilt wurden. Wenn Sie dieselbe Website jedoch erneut besuchen, wird möglicherweise erneut um eine Berechtigung gebeten. Sie können entscheiden, ob Sie diese Berechtigungen erteilen möchten oder nicht (wenn Sie die Berechtigung verweigern, wird die Website in den Bereich „Blockiert“ verschoben und fragt Sie nicht mehr danach).

[Zurück zum Inhaltsverzeichnis]

Chrome-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrolle nach unten, bis du die App „Chrome“ findest, wähle sie aus und tippe auf die Option „Speicher“.

Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie den Vorgang durch Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich auf allen Websites erneut anmelden.

[Zurück zum Inhaltsverzeichnis]

Browserverlauf im Firefox-Webbrowser löschen:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Verlauf“ aus.

Scrolle nach unten, bis du „Private Daten löschen“ siehst, und tippe darauf. Wähle die Datentypen aus, die du löschen möchtest, und tippe auf „DATEN LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Browser-Benachrichtigungen im Firefox-Webbrowser deaktivieren:

Rufen Sie die Website auf, die Browser-Benachrichtigungen sendet, tippen Sie auf das Symbol links neben der Adressleiste (das Symbol muss nicht unbedingt ein „Schloss“ sein) und wählen Sie „Website-Einstellungen bearbeiten“.

Wähle im sich öffnenden Popup-Fenster die Option „Benachrichtigungen“ aus und tippe auf „LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Den Firefox-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrolle nach unten, bis du die Anwendung „Firefox“ findest, wähle sie aus und tippe auf die Option „Speicher“.

Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie den Vorgang durch Tippen auf „LÖSCHEN“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich auf allen Websites erneut anmelden.

[Zurück zum Inhaltsverzeichnis]

Entfernen Sie potenziell unerwünschte und/oder schädliche Anwendungen:

Gehe zu „Einstellungen“, scrolle nach unten, bis du „Apps“ siehst, und tippe darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder schädliche Anwendung sehen, wählen Sie diese aus und tippen Sie auf „Deinstallieren“. Wenn Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z. B. weil eine Fehlermeldung angezeigt wird), sollten Sie es im „abgesicherten Modus“ versuchen.

[Zurück zum Inhaltsverzeichnis]

Starten Sie das Android-Gerät im „abgesicherten Modus“:

Der „abgesicherte Modus“ im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu beheben (z. B. das Entfernen bösartiger Anwendungen, die dies verhindern, wenn das Gerät im „normalen“ Modus läuft).

Drücken Sie die Taste „Ein/Aus“ und halten Sie sie gedrückt, bis der Bildschirm „Ausschalten“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie es gedrückt. Nach einigen Sekunden erscheint die Option „Abgesicherter Modus“, die Sie durch einen Neustart des Geräts ausführen können.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Gerätewartung“ sehen, und tippen Sie darauf.

Tippen Sie auf „Akku“ und überprüfen Sie den Verbrauch der einzelnen Anwendungen. Seriöse Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um ein optimales Benutzererlebnis zu bieten und Strom zu sparen. Ein hoher Akkuverbrauch kann daher darauf hindeuten, dass es sich um eine schädliche Anwendung handelt.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie die Datennutzung verschiedener Anwendungen:

Gehe zu „Einstellungen“, scrolle nach unten, bis du „Verbindungen“ siehst, und tippe darauf.

Scrollen Sie nach unten, bis Sie „Datennutzung“ sehen, und wählen Sie diese Option aus. Wie beim Akku sind seriöse/echte Anwendungen so konzipiert, dass sie den Datenverbrauch so weit wie möglich minimieren. Das bedeutet, dass ein extrem hoher Datenverbrauch auf das Vorhandensein einer schädlichen Anwendung hindeuten kann. Beachten Sie, dass manche schädliche Anwendungen so konzipiert sein können, dass sie nur dann aktiv sind, wenn das Gerät mit einem WLAN-Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.

Wenn Sie eine App finden, die viel Datenvolumen verbraucht, obwohl Sie sie nie nutzen, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Installieren Sie die neuesten Software-Updates:

Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Sicherheit Ihres Geräts geht. Die Gerätehersteller veröffentlichen regelmäßig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Schwachstellen zu beheben, die von Cyberkriminellen ausgenutzt werden könnten. Ein veraltetes System ist wesentlich anfälliger, weshalb Sie stets darauf achten sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Software-Update“ sehen, und tippen Sie darauf.

Tippen Sie auf „Updates manuell herunterladen“ und prüfen Sie, ob Updates verfügbar sind. Falls ja, installieren Sie diese sofort. Wir empfehlen außerdem, die Option „Updates automatisch herunterladen“ zu aktivieren – dadurch wird das System Sie benachrichtigen, sobald ein Update veröffentlicht wird, und/oder es automatisch installieren.

[Zurück zum Inhaltsverzeichnis]

Setzen Sie das System auf die Werkseinstellungen zurück:

Das Durchführen eines „Werkseinstellungs-Resets“ ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät insgesamt zu bereinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video- und Audiodateien, Telefonnummern (die auf dem Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder lediglich die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Über das Telefon“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Zurücksetzen“ sehen, und tippen Sie darauf. Wählen Sie nun die gewünschte Aktion aus:
„Einstellungen zurücksetzen“ – alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
„Netzwerkeinstellungen zurücksetzen“ – alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
“Auf Werkseinstellungen zurücksetzen“ – das gesamte System zurücksetzen und alle gespeicherten Daten vollständig löschen;

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Anwendungen mit Administratorrechten:

Wenn eine schädliche Anwendung Administratorrechte erhält, kann dies das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie stets überprüfen, welche Apps über solche Rechte verfügen, und diejenigen deaktivieren, die diese nicht benötigen.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Sperrbildschirm und Sicherheit“ sehen, und tippen Sie darauf.

Scrolle nach unten, bis du „Weitere Sicherheitseinstellungen“ siehst, tippe darauf und tippe dann auf „Geräteadministrator-Apps“.

Suchen Sie die Anwendungen, die keine Administratorrechte haben sollten, tippen Sie darauf und tippen Sie anschließend auf „DEAKTIVIEREN“.

Häufig gestellte Fragen (FAQ)

Mein Gerät ist mit der Perseus-Malware infiziert. Sollte ich mein Speichermedium formatieren, um sie zu entfernen?

Das Zurücksetzen des Geräts ist eine der wirksamsten Methoden, um Malware zu entfernen. Dabei werden jedoch alle Daten gelöscht (sofern keine Sicherungskopie vorliegt). Es empfiehlt sich, zunächst zu versuchen, Perseus mit einem Tool wie Combo Cleaner zu entfernen.

Was sind die größten Probleme, die durch Malware verursacht werden können?

Malware kann schwerwiegende Probleme verursachen, wie zum Beispiel den Diebstahl persönlicher Daten, die Übernahme der Kontrolle über Ihr Gerät, die Beschädigung oder Löschung von Dateien sowie finanzielle Verluste oder Identitätsdiebstahl.

Was ist der Zweck von Perseus?

Der Zweck von Perseus besteht darin, sensible Informationen zu stehlen. Es ermöglicht Angreifern, das Gerät zu überwachen, Benutzereingaben aufzuzeichnen und auf persönliche Daten wie Notizen, Passwörter und Nachrichten zuzugreifen. Außerdem kann es das Gerät vollständig aus der Ferne steuern und seine Aktivitäten vor dem Opfer verbergen.

Wie hat sich Perseus in mein Gerät eingeschleust?

Benutzer infizieren sich meist mit Perseus, indem sie gefälschte IPTV-Apps von anderen Quellen als den offiziellen App-Stores wie Google Play herunterladen. Diese Apps werden in der Regel als APK-Dateien verbreitet. Nach der Installation wird ein Dropper eingesetzt, um die Malware heimlich zu installieren und die Sicherheitsvorkehrungen von Android zu umgehen.

Schützt mich Combo Cleaner vor Malware?

Ja, Combo Cleaner kann die meisten bekannten Malware-Infektionen erkennen und entfernen. Fortgeschrittene Malware kann sich jedoch tief im System verstecken. Deshalb ist ein vollständiger Systemscan erforderlich, um die Erkennung und Entfernung sicherzustellen.