cerberus

Cerberus: Un nouveau malware Android de location

Nommé “Cerberus,” le nouveau Trojan d’accès à distance permet aux pirates de prendre le contrôle des appareils Android infectés et contient aussi des capacités de Trojan bancaire tel que l’utilisation d’attaques de superposition, contrôle des SMS et récolte de liste de contacts.

Après que des Trojans Android populaires comme Anubis, Red Alert 2.0, GM bot et Exobot, aient quitté le monde des malware-as-a-service, un nouveau malware fait son apparition avec des capacités similaires pour pallier à leurs absences.

Selon l’auteur du malware, qui est étonnamment sociable sur Twitter et se moque des chercheurs en sécurité et de l’industrie des antivirus, Cerberus a été entièrement codé à partir de rien et ne ré-utilise aucun code venant d’autres Trojans bancaires.

L’auteur a aussi déclaré qu’il a utilisé le Trojan à des fins personnelles pendant 2 ans avant de le louer à ceux qui sont intéressés depuis maintenant 2 mois. Les prix sont de $2000 pour 1 mois d’utilisation, $7000 pour 6 mois d’utilisation et près de $12000 pour 12 mois.

Trojan Bancaire Cerberus: Fonctionnalités

Selon les chercheurs en sécurité de ThreatFabric qui ont analysé un échantillon du trojan Cerberus, le malware a une liste de fonctionnalités ordinaires:

  • capture d’écrans
  • enregistrement audio
  • keylogger
  • envoyer, recevoir, et supprimer des SMS, 
  • subtiliser les listes de contact
  • transférer les appels
  • récupérer les informations de l’appareil
  • Tracer la localisation de l’appareil
  • voler les informations de connexion de compte, 
  • désactiver Play Protect
  • télécharger d’autres applications et des payloads
  • supprimer les applications sur l’appareil infecté
  • pousser les notifications
  • verrouiller l’écran du téléphone

Une fois infecté, Cerberus cache son icone et demande une permission d’accessibilité en se faisant passer pour Flash Player Service. Si autorisé, le malware enregistre automatiquement l’appareil compromis dans son serveur command-and-control, permettant au pirate de contrôler l’appareil à distance.

Pour subtiliser les codes de cartes de crédit, les informations bancaires et les mots de passe des autres comptes en ligne, Cerberus permets aux pirates de lancer des attaques de superpositions d’écran depuis le tableau de bord distant.

Durant les attaques de superpositions d’écran, le Trojan affiche un revêtement au dessus des applications bancaires légitimes et pousse les utilisateurs d’Android à entrer leurs informations bancaires dans le faux écrans de connexion, un peu comme une attaque d’hameçonnage.

“Le bot abuse de la permission d’accessibilité au service pour obtenir le nom du paquet de l’application en premier plan et déterminer si il doit afficher une fenêtre d’hameçonnage en superposition,” ont déclaré les chercheurs.

cerberus android banking malware

Selon les chercheurs, Cerberus contient déjà des modèles de superposition pour 30 cibles:

  • 7 applications bancaires Françaises
  • 7 applications bancaires Américaines
  • 1 application bancaire Japonaise
  • 15 autres applications diverses

Cerberus Utilise des Tactiques d’Evasion basées sur le mouvement

Cerberus utilise des techniques d’évasion de détection intéressantes pour ne pas se faire attraper par les antivirus, par exemple en utilisant l’accéléromètre pour mesurer les mouvements de la victime.

L’idée est simple—quand l’utilisateur bouge, l’appareils Android génère des données de mouvements. Le malware surveille les pas de l’utilisateur à travers le capteur de mouvement pour vérifier si il s’exécute sur un vrai appareil Android.

“Le Trojan utilise ce compteur pour activer le bot—si le compteur de pas atteint le seuil pré-configuré il considère que l’exécution sur l’appareil est sûre,” ont expliqué les chercheurs.

“Cette simple mesure empêche le Trojan de s’exécuter, d’être analysé dans un environnement d’analyse dynamique (sandbox) et d’être tester sur les appareils de test des analystes de malware.”

Si l’appareil de l’utilisateur n’a pas ce genre de capteurs, le malware suppose que le sandbox utilisé pour le scanner est un émulateur sans détecteur de mouvement et il n’exécutera pas le code malveillant.

Cependant, cette technique n’est pas unique et a été utilisé précédemment par le Trojan bancaire sur Android nommé ‘Anubis‘.

Il faut précisé que Cerberus n’exploite pas de vulnérabilité pour s’installer sur un appareil ciblé mais utilise plutôt des tactiques d’ingénierie sociale.

Pour vous protéger contre ce genre de menaces, il est recommandé d’être prudent quand vous téléchargez des applications sur votre smartphone.

Poster un Commentaire

avatar
  S’abonner  
Notifier de