Le nouveau malware Android, Perseus, se spécialise dans le vol d’informations sensibles en examinant les notes personnelles des utilisateurs, tels que les mots de passe, les phrases de récupération ou des données financières.
Ce logiciel malveillant est distribué via des plateformes non officielles, où il se fait passer pour des applications IPTV. Il permet une prise de contrôle totale de l’appareil, la capture d’écran, ainsi que des attaques par superposition.
En se déguisant en applications de streaming IPTV, souvent utilisées pour accéder à des contenus piratés, les cybercriminels misent sur la familiarité des utilisateurs avec le téléchargement d’APKs depuis des sources extérieures au Google Play Store, tout en négligeant les avertissements de sécurité.
Cette tendance s’est intensifiée au cours des huit derniers mois, les utilisateurs recherchant des moyens gratuits ou peu coûteux d’accéder à des diffusions sportives en direct. Récemment, les acteurs malveillants ont exploité ce même appât pour diffuser le malware bancaire Android, Massiv.
D’après les chercheurs de l’entreprise de sécurité mobile ThreatFabric, Perseus cible principalement les institutions financières en Turquie et en Italie, ainsi que des services de cryptomonnaie.
Une des applications distribuant le malware s’appelle Roja Directa TV, un service de streaming sportif populaire qui a déjà été la cible d’actions pour violation des droits d’auteur.
Source: ThreatFabric
Le dropper de Perseus réussit à contourner les restrictions de sideloading d’Android 13+, et est le même utilisé pour distribuer les malwares Klopatra et Medusa.
Les chercheurs de ThreatFabric soulignent que Perseus s’appuie spécifiquement sur la base de code de Phoenix, dérivée du code Cerberus, diffusé il y a près de six ans.
Le rapport indique que le malware possède deux versions, l’une en turc et une autre, plus avancée, en anglais, intégrant des fonctionnalités de débogage améliorées ainsi que des éléments facilitant son utilisation.
La version anglaise est dotée d’une journalisation exhaustive et d’émojis dans son code, ce qui pourrait suggérer l’utilisation d’outils d’intelligence artificielle durant son développement.
Les institutions financières ciblées en Turquie se chiffrent à 17, suivies par 15 en Italie, 5 en Pologne, 3 en Allemagne, et 2 en France. De plus, le malware s’attaque à 9 applications de cryptomonnaie.
En utilisant les Services d’accessibilité Android, Perseus permet aux opérateurs un contrôle à distance total sur les appareils infectés, leur permettant notamment :
- De capturer des captures d’écran en continu et de les transmettre à l’opérateur (start_vnc)
- D’envoyer une hiérarchie d’interface utilisateur structurée pour une interaction à distance programmatique (start_hvnc)
- De simuler des taps, des balayages, des saisies de texte et d’autres actions de navigation
- D’allumer l’écran, de lancer des applications, et de bloquer des applications
- D’activer une superposition d’écran noire pour dissimuler l’activité à la victime
- De lancer des attaques par superposition et de réaliser du keylogging
Une caractéristique particulière de Perseus cible les applications de prise de notes Android, telles que Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote et Simple Notes.
Les chercheurs de ThreatFabric notent que c’est la première fois qu’un malware Android vérifie des informations sensibles dans les notes personnelles des utilisateurs.
Selon leur rapport, « si de nombreuses familles de malwares Android se concentrent principalement sur la collecte d’identifiants ou l’interception de communications, cette caractéristique témoigne d’un intérêt plus large pour les données contextuelles et personnelles. »
Les notes contiennent souvent des informations sensibles, rendant leur ciblage attrayant pour les attaquants. La version anglaise du malware utilise les Services d’accessibilité pour ouvrir systématiquement les applications de notes et scanner les notes individuelles stockées.
Source: Threat Fabric
Perseus effectue des vérifications approfondies pour éviter l’analyse avant de s’exécuter sur un appareil, y compris la détection de rooting, d’émulateurs, de détails de SIM, et d’autres paramètres matériels, formulant un score de suspicion qu’il envoie à son panneau de contrôle.
En fonction de ce score, l’opérateur décide de procéder ou non au vol de données.
Pour minimiser les risques, il est conseillé aux utilisateurs d’Android d’éviter le téléchargement d’APKs depuis des sources douteuses et de se limiter aux applications de streaming légales disponibles dans le Google Play Store. Il est également recommandé de s’assurer que Play Protect est actif pour scanner régulièrement l’appareil à la recherche de menaces connues.