Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Logiciel malveillant bancaire Persée

Logiciel malveillant bancaire Persée

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire
Se traduisent par :

Des analystes en cybersécurité ont identifié une nouvelle famille de logiciels malveillants Android, baptisée Perseus, activement déployée pour permettre la prise de contrôle d'appareils et commettre des fraudes financières. Cette menace représente une évolution majeure des logiciels malveillants mobiles, combinant des techniques éprouvées à une flexibilité opérationnelle accrue.

Évolution à partir de lignées de logiciels malveillants éprouvées

Perseus repose sur les fondements des logiciels malveillants Cerberus et Phoenix, deux chevaux de Troie bancaires Android bien connus. Documenté pour la première fois en août 2019, Cerberus exploitait les services d'accessibilité d'Android pour élever ses privilèges, collecter des données sensibles et déployer des attaques par superposition afin de voler des identifiants. Après la fuite de son code source en 2020, plusieurs dérivés ont vu le jour, notamment Alien, ERMAC et Phoenix.

Perseus étend le code source de Phoenix, évoluant vers une plateforme plus adaptable et performante. Des indicateurs tels qu'une journalisation intensive au sein de l'application et des artefacts de code inhabituels suggèrent que des acteurs malveillants ont pu tirer parti de modèles de langage complexes (LLM) lors du développement.

Vecteur d’infection : Ingénierie sociale via les applications IPTV

La stratégie de distribution repose largement sur l'ingénierie sociale. Perseus est diffusé via des applications tierces hébergées sur des sites web d'hameçonnage, souvent déguisées en services IPTV. Cette approche rappelle les campagnes associées au malware Android Massiv, qui ciblent les utilisateurs cherchant à accéder illégalement à du contenu de streaming premium.

En intégrant des charges utiles malveillantes dans des applications IPTV d'apparence légitime, les attaquants réduisent la méfiance des utilisateurs et augmentent considérablement leurs chances de succès. La campagne a principalement ciblé des utilisateurs dans plusieurs régions, notamment en Turquie, en Italie, en Pologne, en Allemagne, en France, aux Émirats arabes unis et au Portugal.

Chaîne de déploiement des logiciels malveillants et artefacts connus

Plusieurs applications ont été identifiées comme faisant partie de l'écosystème de distribution Perseus :

  • Roja App Directa (com.xcvuc.ocnsxn) – Application compte-gouttes
  • TvTApp (com.tvtapps.live) – Charge utile principale Perseus
  • PolBox TV (com.streamview.players) – Variante de charge utile secondaire

Ces applications servent de points d'entrée pour l'installation du logiciel malveillant sur les appareils compromis.

Capacités avancées de prise de contrôle d’appareils

Perseus exploite les services d'accessibilité d'Android pour établir des sessions à distance, permettant une surveillance en temps réel et une interaction précise avec les appareils infectés. Cette fonctionnalité permet une prise de contrôle totale de l'appareil, offrant aux attaquants un contrôle étendu sur l'activité de l'utilisateur.

Contrairement aux chevaux de Troie bancaires classiques, Perseus va au-delà de la simple collecte d'identifiants en surveillant activement les applications de prise de notes. Ce comportement révèle une volonté délibérée d'extraire des informations personnelles et financières sensibles qui ne sont généralement pas stockées dans les champs d'identifiants conventionnels.

Techniques d’attaque principales : superposition et interception des entrées

Une fois activé, Perseus utilise des techniques éprouvées de logiciels malveillants bancaires pour Android. Il lance des attaques par superposition pour afficher des interfaces frauduleuses par-dessus des applications bancaires et de cryptomonnaies légitimes, capturant ainsi les identifiants des utilisateurs en temps réel. De plus, l'enregistrement des frappes au clavier permet d'intercepter les données sensibles saisies.

Opérations de commande et de contrôle : Cadre de manipulation à distance

Le logiciel malveillant est contrôlé par une infrastructure de commande et de contrôle (C2), permettant aux opérateurs d'émettre des commandes, de manipuler le comportement des appareils et d'autoriser des transactions frauduleuses. Les principales commandes prises en charge sont les suivantes :

  • Extraction et surveillance des données (par exemple, capture des notes provenant d'applications telles que Google Keep, Evernote et Microsoft OneNote)
  • Gestion de session à distance via VNC et HVNC pour une interaction en temps réel ou avec une interface utilisateur structurée
  • Capture d'écran à l'aide des services d'accessibilité
  • Contrôle des applications, y compris le lancement d'applications ou la suppression des restrictions
  • tactiques de tromperie des utilisateurs telles que les superpositions d'écran noir et la coupure du son
  • Installation forcée à partir de sources inconnues et interactions utilisateur simulées

Cet ensemble de commandes complet permet aux attaquants de maintenir un contrôle persistant et clandestin sur les appareils compromis.

Tactiques d’évasion et conscience de l’environnement

Perseus intègre des techniques anti-analyse avancées pour échapper à la détection. Il effectue des vérifications environnementales approfondies, notamment l'identification des outils de débogage, la vérification de la présence de la carte SIM, l'analyse du nombre d'applications installées et la validation des indicateurs de batterie afin de confirmer son exécution sur un appareil réel.

Le logiciel malveillant agrège ces données en un « score de suspicion », qui est transmis au serveur C2. En fonction de ce score, les opérateurs décident de poursuivre l'exploitation ou de rester inactifs pour éviter d'être détectés.

Implications stratégiques : l’efficacité par l’évolution

Perseus illustre l'évolution constante des logiciels malveillants Android, où les nouvelles menaces s'appuient de plus en plus sur des frameworks existants plutôt que d'être développées de A à Z. En combinant les fonctionnalités héritées de Cerberus et Phoenix avec des améliorations ciblées, telles que la surveillance des notes et un contrôle à distance optimisé, Perseus parvient à un équilibre entre efficacité et innovation.

Cette approche reflète une tendance plus large en matière de cybercriminalité : la priorité accordée à l’adaptabilité, à l’évolutivité et à l’extraction de données à forte valeur ajoutée, ce qui rend les campagnes de logiciels malveillants modernes plus efficaces et plus difficiles à détecter.

Tendance

Votre compte sera désactivé. Arnaque par e-mail.

Hameçonnage, Courrier indésirable
Il est essentiel de rester vigilant face aux courriels inattendus afin de protéger ses informations personnelles et ses comptes en ligne. Les cybercriminels dissimulent fréquemment des messages d'hameçonnage sous forme de notifications urgentes pour inciter les destinataires à agir rapidement sans en vérifier l'authenticité. L'escroquerie par courriel « Votre compte sera désactivé » en est un...

Ledger - Activité DEX suspecte détectée : tentative...

Hameçonnage, Courrier indésirable
Les courriels inattendus faisant état de problèmes de sécurité urgents doivent toujours être traités avec prudence. Les cybercriminels usurpent fréquemment l'identité de marques connues afin de semer la panique et d'inciter les destinataires à agir rapidement. Le courriel intitulé « Ledger - Activité DEX suspecte détectée » en est un exemple. Bien qu'il semble provenir de Ledger, ce...

Le plus regardé

Chargement...