Onderzoekers hebben een nieuwe Android-malware ontdekt die het wel heel bont maakt. De malware, met de naam Perseus Android malware, richt zich namelijk niet alleen op klassieke gegevens zoals wachtwoorden, maar snuistert ook in je persoonlijke notities op zoek naar gevoelige informatie.
Denk daarbij aan recovery codes, financiële gegevens of zelfs privé-aantekeningen die je ooit snel hebt opgeslagen. Het is een opvallende evolutie, want dit soort data werd tot nu toe zelden zo gericht geviseerd.
De malware wordt verspreid via onofficiële appstores en doet zich voor als IPTV-apps, waarmee je vaak gratis of goedkoop sportwedstrijden kunt streamen. Net daar zit het gevaar: gebruikers die zulke apps installeren, zijn meestal al gewend om APK-bestanden buiten de Play Store te downloaden en waarschuwingen te negeren.
Een van de apps die onderzoekers tegenkwamen, draagt de naam Roja Directa TV. Die fungeert als een zogenaamde ‘dropper’ die de eigenlijke malware op het toestel installeert.
Volgens beveiligingsbedrijf ThreatFabric maakt Perseus gebruik van technieken die we eerder zagen bij andere Android-bankmalware, zoals Klopatra en Medusa. De basis zou zelfs teruggaan op oude gelekte broncode van Cerberus.
Eens actief, neemt de malware verregaande controle over het toestel. Via misbruik van Androids toegankelijkheidsfuncties kan een aanvaller onder meer schermopnames maken en live meekijken, apps openen en bedienen alsof hij zelf op het toestel zit, toetsaanslagen registreren, nepvensters tonen om gegevens te stelen en het scherm zwart maken om acties te verbergen.
Daarnaast kan de malware zichzelf aanpassen op basis van hoe ‘verdacht’ een toestel lijkt. Zo checkt ze onder meer of het om een emulator gaat, hoeveel apps geïnstalleerd zijn en zelfs of bluetooth actief is.
Wat Perseus echt onderscheidt, is de focus op notitie-apps. De malware doorzoekt onder andere Google Keep, Samsung Notes, Evernote en Microsoft OneNote op zoek naar bruikbare informatie. Volgens de onderzoekers is dat geen toeval. Notities bevatten vaak net die gegevens die mensen nergens anders durven opslaan: wachtwoorden, pincodes of herstelzinnen voor crypto-wallets.
De campagne richt zich voorlopig vooral op financiële instellingen in landen als Turkije en Italië, maar ook gebruikers in andere Europese landen lopen risico. Daarnaast viseert de malware ook verschillende cryptodiensten. Opvallend is dat er een Engelstalige variant bestaat met uitgebreidere functies en zelfs emoji in de code, een detail dat volgens onderzoekers kan wijzen op het gebruik van AI-tools tijdens de ontwikkeling.
De boodschap blijft dezelfde, maar daarom niet minder belangrijk: installeer geen apps uit dubieuze bronnen en blijf weg van illegale streamingdiensten. Gebruik bij voorkeur enkel de officiële Google Play Store en laat beveiligingsfuncties zoals Play Protect actief. Want één verkeerde download kan tegenwoordig al genoeg zijn om je volledige smartphone uit handen te geven.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
