Aujourd’hui encore, des utilisateurs stockent des mots de passe, des clés de récupération ou d’autres informations sensibles dans l’application de prise de notes de leur téléphone. Les cybercriminels l’ont bien compris : une nouvelle menace baptisée Perseus cible les smartphones Android pour voler ces fameuses notes sensibles.
Perseus cible vos notes (celles stockées en clair)
Ce nouveau malware Android, du nom de Perseus, se propage actuellement auprès des utilisateurs d’Android en Europe. Contrairement aux chevaux de Troie bancaires classiques qui se positionnent par-dessus les applications légitimes pour intercepter vos données (attaques dites par overlay), Perseus adopte une approche différente. Ce qui l’intéresse, ce sont les données non chiffrées que les utilisateurs laissent traîner, notamment dans les applis de prise de notes.
Sur un appareil infecté, le malware Perseus va scanner le contenu des applications de prise de notes les plus répandues : Google Keep, Evernote, Samsung Notes ou les simples blocs-notes natifs proposés par les différentes marques. Là-dedans, il risque de trouver de tout : une liste de courses, une liste de tâches, mais aussi, dans certains cas, des mots de passe ou autres données sensibles.
Bien entendu, ce qui l’intéresse, ce n’est pas ce que vous allez manger la semaine prochaine. Son code intègre des expressions régulières (Regex) lui permettant de détecter et exfiltrer vers un serveur distant des modèles de texte bien précis.
Les cibles favorites de Perseus sont les suivantes :
Les mots de passe et identifiants liés à des comptes en ligne.
Les phrases de récupération donnant accès à des portefeuilles de cryptomonnaies.
Les codes PIN, les numéros de cartes bancaires ou de sécurité sociale.
Les clés d’API et autres jetons d’accès.
Une information importante stockée à la va-vite et oubliée dans une note, cela peut arriver à tout le monde.
Un fonctionnement basé sur les services d’accessibilité
Comme beaucoup de logiciels malveillants, Perseus abuse des fonctions d’accessibilité pour obtenir suffisamment de permissions sur l’appareil de l’utilisateur. Cela me fait penser à un article que j’ai écrit hier à ce sujet : Sécurité sur Android 17 : Google s’attaque enfin aux dérives de l’API d’accessibilité.
Mais avant de chercher à obtenir des privilèges sur l’appareil, le malware doit atteindre l’appareil. Pour cela, la technique est souvent la même : utiliser des applications malveillantes en guise de leurre en les distribuant en dehors du Google Play Store. Dans le cas présent, les chercheurs de ThreatFabric indiquent que les pirates distribuent des applications d’IPTV.
“La stratégie de diffusion observée dans toutes les campagnes Perseus repose systématiquement sur l’utilisation d’applications se faisant passer pour des services IPTV, une tactique probablement choisie pour maximiser la crédibilité et l’engagement des utilisateurs dans la région cible principale, en particulier en Turquie, et dont nous avons déjà parlé dans notre précédent rapport sur Massiv.”, peut-on lire.
Source : ThreatFabric – Exemple de dropper pour Perseus
Lors de son installation, l’application manipule l’utilisateur pour qu’il lui accorde les droits d’accessibilité, afin d’assurer son “bon fonctionnement”. Si la victime accepte, Perseus obtient un contrôle étendu sur l’appareil, lui permettant d’interagir de manière invisible avec l’interface.
Même si la Turquie et l’Italie sont les deux pays les plus impactés par cette campagne, d’autres pays sont dans la liste, dont la France, l’Allemagne et le Portugal.
Cet article est l’occasion de rappeler deux règles importantes :
Ne stockez jamais d’informations confidentielles en clair dans une application de prise de notes. Utilisez un gestionnaire de mots de passe.
Évitez l’installation d’applications non distribuées via le Google Play Store.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.