Cerberus : Un malware bancaire redoutable qui siphone tout sur son passage depuis Google Play
Le malware Cerberus peut voler les références bancaires, contourner les mesures de sécurité et accéder aux messages texte.
Une application Android malveillante a été découverte sur le marché de l'application Google Play qui distribue le cheval de Troie bancaire Cerberus. L'application a été téléchargée à plus de 10 000 reprises.
Selon les chercheurs, le cheval de Troie a été découvert ces derniers jours, car il se propageait via une application de conversion de devises espagnoles (appelée "Calculadora de Moneda"), qui est disponible pour les utilisateurs d'Android en Espagne depuis mars. Une fois exécuté, le malware a la capacité de voler les identifiants des comptes bancaires des victimes et de contourner les mesures de sécurité, y compris l'authentification à deux facteurs (2FA).
"Comme c'est souvent le cas avec les logiciels malveillants bancaires, Cerberus s'est déguisé en véritable application afin d'accéder aux coordonnées bancaires d'utilisateurs peu méfiants", a déclaré Ondrej David, avec Avast, dans une analyse de mardi. "Ce qui n'est pas si courant, c'est qu'un cheval de Troie bancaire ait réussi à se faufiler dans la boutique Google Play".
Pour éviter une première détection, l'application a caché ses intentions malveillantes pendant les premières semaines tout en étant disponible sur Google Play. Pendant cette période, l'application a agi normalement comme un convertisseur légitime, et elle n'a volé aucune donnée ni causé aucun dommage, a déclaré David.
"Il s'agissait peut-être d'acquérir furtivement des utilisateurs avant de commencer des activités malveillantes, ce qui aurait pu attirer l'attention des chercheurs de logiciels malveillants ou de l'équipe Play Protect de Google", selon Ondrej David, expert en cybersécurité chez Avast
A la mi-juin, les nouvelles versions du convertisseur de devises comprenaient ce que les chercheurs ont appelé un "code compte-gouttes", mais il n'était toujours pas activé. Puis, le 1er juillet, l'application a déployé une deuxième étape où elle est devenue un compte-gouttes, téléchargeant silencieusement le logiciel malveillant sur des appareils à l'insu des victimes. L'application a été connectée à un serveur de commande et de contrôle (C2), qui a émis une nouvelle commande pour télécharger le paquet d'application Android (APK) malveillant supplémentaire, Cerberus.
Comment fonctionne Cerberus
Cerberus dispose de diverses fonctionnalités d'espionnage et de vol d'identité. Il peut s'asseoir sur une application bancaire existante et attendre que l'utilisateur se connecte à son compte bancaire. Ensuite, il crée une passerelle au-dessus de l'écran de connexion de la victime et vole ses références bancaires. En outre, le cheval de Troie a la capacité d'accéder aux messages texte des victimes, ce qui signifie qu'il peut visualiser les codes d'authentification à deux facteurs (2FA) envoyés par message.
"Il utilise la fonction d'accessibilité d'Android, ainsi que le mécanisme d'attaque par superposition, qui est typique des chevaux de Troie bancaires. Ainsi, lorsqu'un utilisateur ouvre son application bancaire habituelle, un écran de superposition est créé, et les informations de connexion de l'utilisateur sont collectées", a déclaré David à Threatpost.
Les chercheurs ont déclaré que le serveur C2 et la charge utile associés à la campagne étaient actifs jusqu'à lundi de cette semaine. Puis, lundi soir, le serveur C2 a disparu et le convertisseur de devises sur Google Play ne contenait plus le cheval de Troie malveillant.
Avast a informé Google de l'existence de l'application malveillante ; Selon Google Play : "La version de Google Play ne contient plus le code du compte-gouttes - l'application a été mise à jour avec une nouvelle version, qui est à nouveau bénigne", a déclaré David à Threatpost. "Nous ne pouvons que spéculer sur les raisons qui poussent les acteurs de la menace à agir ainsi. Il se pourrait qu'ils testent différentes options avec cette application, notamment si et quand Google ou des chercheurs externes en cybersécurité détectent le code malveillant. Jusqu'à présent, nous n'avons pas encore reçu de réponse de Google".
L'évolution de la menace Cerberus
Cerberus est apparu pour la première fois en août dernier sur des forums clandestins, étant proposé dans un modèle de type "malware-as-a-service" (MaaS). Depuis lors, une nouvelle variante du cheval de Troie Cerberus Android a été découverte, avec des capacités de collecte d'informations largement étendues et plus sophistiquées, et la possibilité d'exécuter TeamViewer.
Ce n'est que la dernière famille de logiciels malveillants à avoir été découverte sur un marché d'applications légitime. En février, les chercheurs ont identifié huit applications Android malveillantes sur Google Play distribuant le malware "Haken", qui exfiltre les données sensibles des victimes et les inscrit secrètement à des services d'abonnement premium coûteux. Et en avril, une nouvelle campagne de logiciels espions appelée PhantomLance a été découverte, distribuée via des dizaines d'applications dans Google Play.
David a déclaré que les utilisateurs d'Android peuvent se protéger en faisant attention aux autorisations demandées par une application et en vérifiant les évaluations des utilisateurs d'une application. "Si vous estimez que l'application demande plus que ce qu'elle promet de fournir, considérez cela comme un signal d'alarme", a-t-il déclaré.
Source : ThreatPost, Avast
Fawaz MOUSSOUGAN
Consultant en Cybersécurité