Onderzoekers hebben Android-malware ontdekt die op besmette telefoons verschillende notitie-apps op notities van gebruikers doorzoekt. Dergelijke notities kunnen wachtwoorden of seed phrases bevatten, waarmee toegang tot onder andere cryptowallets kan worden verkregen. Dat laat securitybedrijf ThreatFabric in een analyse van de Perseus-malware weten.

De malware, die zich voordoet als een IPTV-app, wordt buiten de Google Play Store om aangeboden. IPTV-apps worden vaak buiten de Play Store en andere officiële marktplaatsen aangeboden, waardoor gebruikers een dergelijke installatiemethode minder verdacht zullen vinden. Eenmaal geïnstalleerd en actief kan de Perseus-malware toetsaanslagen opslaan, overlay-vensters boven legitieme applicaties tonen om zo inloggegevens te stelen en Device Takeover fraude plegen. Hierbij krijgt de aanvaller op afstand toegang tot de telefoon en pleegt vervolgens vanaf het toestel fraude, wat detectie moet bemoeilijken.

Een opmerkelijke eigenschap is de mogelijkheid van de malware om notitie-apps van gebruikers te starten en daarin te zoeken naar notities. "Notities bevatten vaak gevoelige informatie, zoals wachtwoorden, recovery phrases, financiële gegevens of privégedachten, waardoor ze een aantrekkelijk doelwit voor aanvallers zijn", aldus de onderzoekers. De malware is geprogrammeerd om Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Microsoft One note, Simple Notes Pro en Simple Notes te openen en doorzoeken.

De malware richt zich vooral op Android-gebruikers in Turkije, Italië, Polen en Duitsland. De onderzoekers stellen verder dat de Perseus-malware de trend doorzet om gebruikers door middel van malafide IPTV-apps te infecteren. Vorige maand waarschuwde ThreatFabric al dat Europese Android-gebruikers steeds vaker het doelwit van malafide IPTV-apps zijn.