Repéré par ThreatFabric, Perseus vise des banques, des services crypto et, fait plus inhabituel, les applications de notes, dans lesquelles trop d'entre nous conservent encore mots de passe, phrases de récupération et autres données sensibles.
Le recours aux fausses applis IPTV pour diffuser des malwares Android n’a plus grand-chose d’exceptionnel, mais Perseus, analysé par ThreatFabric, prouve que le filon continue d’évoluer. Héritier de Cerberus puis de Phoenix, dont il reprend une partie de l’architecture et des capacités, il s’appuie sur un mode de diffusion particulièrement efficace et ajoute à l’arsenal habituel des trojans bancaires Android une cible plus discrète, les applications de notes, où il vient chercher tout ce qui peut encore avoir de la valeur, des mots de passe aux phrases de récupération en passant par d’autres données sensibles.
Une façade IPTV pour un trojan bancaire très ambitieux
Dans les campagnes observées par ThreatFabric, Perseus circule sous couvert d’applications IPTV proposées en dehors du Play Store. Un vecteur de diffusion d’autant plus efficace que ce type de service repose déjà largement sur le téléchargement manuel d’APK, sans qu’il soit nécessaire de forcer beaucoup plus la main aux victimes. Le malware s’appuie en plus sur un dropper capable de contourner les restrictions renforcées par Android 13 sur le sideloading, un composant que les chercheurs avaient déjà vu à l’œuvre dans la diffusion d’autres familles de menaces, comme Klopatra et Medusa.
Une fois déployé, Perseus abuse des services d’accessibilité pour prendre la main sur l’appareil. Il peut lancer des overlays, enregistrer presque tout ce qui s’affiche à l’écran, simuler des interactions, réveiller le téléphone, bloquer des applications, couper le son, injecter du texte, ou encore le piloter à distance selon deux modes distincts. Le premier repose sur une capture quasi continue de l’écran envoyée au serveur de commande. Le second transmet une représentation structurée de l’interface, suffisamment détaillée pour permettre à l’opérateur d’interagir avec ce qui s’affiche sans se limiter à une simple vue du contenu. Dans les faits, les attaquants peuvent ainsi guider, accompagner ou exécuter eux-mêmes des actions frauduleuses sur le téléphone infecté.
À la base, Perseus reste bien un trojan bancaire Android, qui cible en priorité plusieurs applis d’établissements financiers en Turquie, Italie, Pologne, Allemagne, France, Portugal et Émirats arabes unis, ainsi que 9 applications crypto.
En revanche, là où il se montre plus inventif, c’est dans les moyens déployés pour récupérer des données sensibles. Dans sa version anglaise, le malware embarque ainsi une commande scan_notes qui lui permet d’identifier plusieurs applications de prise de notes installées sur le téléphone, parmi lesquelles Google Keep, Samsung Notes, Xiaomi Notes, Evernote, OneNote ou Simple Notes, puis d’en parcourir le contenu, une note après l’autre, pour y glaner des informations déjà stockées, déjà organisées, souvent laissées là pour pouvoir être retrouvées rapidement. Si ce module fait ses preuves, il pourrait vite être étendu à d’autres variantes régionales du malware.
Téléchargements hors Play Store et stockage en clair de données sensibles, deux habitudes à perdre
Cette campagne rappelle d’abord qu’une appli téléchargée hors du Play Store n’est jamais un simple raccourci pour accéder à un service introuvable ailleurs. C’est aussi un cadre d’installation dans lequel les garde-fous habituels sautent plus facilement, parce que le téléchargement manuel d’APK, les avertissements Android et les demandes d’autorisations inhabituelles y paraissent presque normaux. Dans le cas de Perseus, c’est précisément ce qui fait la force du leurre. Le piège n’a pas besoin d’être particulièrement sophistiqué dès lors qu’il s’insère dans un usage où l’on accepte déjà de contourner les circuits officiels.
Le premier réflexe consiste donc à éviter autant que possible ces APK récupérés sur des boutiques parallèles, des sites miroirs ou des pages de téléchargement mal identifiées. Il faut aussi regarder de près les permissions demandées. Une application de streaming, illégale qui plus est, n’a aucune raison légitime de réclamer l’accès aux services d’accessibilité, qui permettent justement à ce type de malware de lire l’écran, de simuler des actions et de naviguer dans le téléphone à la place de la victime.
L’autre point, sans doute plus embarrassant, concerne ce que l’on choisit encore de stocker dans ses applications de notes. Perseus rappelle qu’un pense-bête synchronisé n’a rien d’un coffre-fort. Un mot de passe recopié pour ne pas l’oublier, une phrase de récupération crypto laissée « juste le temps de », quelques coordonnées bancaires ou un code conservé pour aller plus vite, et c’est tout un pan de la vie numérique qui se retrouve exposé dès qu’un logiciel malveillant parvient à fouiller ces contenus. Pour ce type d’informations, un gestionnaire de mots de passe reste nettement plus adapté, et certaines données, notamment les phrases de récupération, méritent même de ne pas dormir sur le téléphone du tout.
Source : ThreatFabric
