Le malware Cerberus se cachait sur Google Play

Le malware Cerberus peut dérober les informations d’identifiants bancaires, contourner les mesures de sécurité et accéder aux messages.

Une application Android malveillante a été découverte sur Google Play qui distribue le cheval de Troie bancaire, Cerberus. L’application a été téléchargée plus de 10 000 fois.

Les chercheurs ont déclaré que le cheval de Troie avait été découvert au cours des derniers jours, car il était diffusé via une application de conversion de devises espagnole (appelée “Calculadora de Moneda”), qui est disponible pour les utilisateurs d’Android en Espagne depuis le mois de Mars 2020. Une fois exécuté, le logiciel malveillant a la capacité de dérober les informations d’identification du compte bancaire des victimes et de contourner les mesures de sécurité, y compris l’authentification à deux facteurs (2FA).

“Comme c’est le cas avec les logiciels malveillants bancaires, Cerberus s’est déguisé en application légitime afin d’accéder aux détails bancaires des utilisateurs à leur insu”, a déclaré Ondrej David, avec Avast, dans une analyse. “Ce qui n’est pas si courant, c’est qu’un cheval de Troie bancaire ait réussi à se faufiler sur le Google Play Store.”

cerberus

Pour éviter la détection initiale, l’application a caché ses intentions malveillantes pendant les premières semaines tout en étant disponible sur Google Play. Pendant ce temps, l’application a agi normalement comme un convertisseur légitime, et elle n’a pas volé de données ni causé de dommages, a déclaré David.

“Il s’agissait peut-être d’acquérir furtivement des utilisateurs avant de lancer des activités malveillantes, ce qui aurait pu attirer l’attention des chercheurs de logiciels malveillants ou de l’équipe de Google Play Protect”, selon David.

À la mi-juin, les nouvelles versions du convertisseur de devises intégraient ce que les chercheurs appelaient un «code de dropper», mais il n’était toujours pas activé. Puis, le 1er juillet, l’application a déployé une deuxième étape où elle est devenue un dropper, téléchargeant secrètement le malware sur des appareils à l’insu des victimes. L’application était connectée à un serveur de commande et de contrôle (C2), qui a émis une nouvelle commande pour télécharger le package d’application Android (APK) malveillant, Cerberus.

Cerberus possède diverses fonctionnalités d’espionnage et de vol d’informations d’identification. Il peut se lier à une application bancaire existante et attendre que l’utilisateur se connecte à son compte bancaire. Ensuite, il crée une escale sur l’écran de connexion des victimes et vole leurs informations bancaires. Le cheval de Troie a aussi la possibilité d’accéder aux messages des victimes, ce qui signifie qu’il peut afficher les codes d’authentification à deux facteurs (2FA) envoyés par message.

“Il utilise la fonction d’accessibilité d’Android, ainsi que le mécanisme d’attaque par superposition, qui est typique des chevaux de Troie bancaires. Ainsi, lorsqu’un utilisateur ouvre son application bancaire normale, un écran de superposition est créé et les informations de connexion de l’utilisateur sont collectées”, a déclaré David.

cerberus

Les chercheurs ont déclaré que le serveur C2 et le payload associé à la campagne étaient actifs très récemment. Puis, le serveur C2 a disparu et le convertisseur de devises sur Google Play ne contenait plus le malware.

Avast a informé Google de l’application malveillante.

“La version qui est dans Google Play ne contient plus actuellement le code du dropper – l’application a été mise à jour avec une nouvelle version, qui est à nouveau bénigne”, a déclaré David. «Nous ne pouvons que spéculer sur la raison pour laquelle les cybercriminels agissent ainsi. Il se peut qu’ils testent différentes options avec cette application, notamment si et quand Google ou des chercheurs externes en cybersécurité détectent le code malveillant. Jusqu’à présent, nous n’avons pas encore reçu de réponse de Google. “

L’évolution de la menace Cerberus

Cerberus est apparu pour la première fois en Août dernier sur des forums clandestins, proposé sous forme de MaaS (malware-as-a-service). Depuis lors, une variante récemment découverte du cheval de Troie Cerberus a été repérée, avec des capacités de collecte d’informations considérablement étendues et plus sophistiquées, et la possibilité d’exécuter TeamViewer.

Ce n’est que la dernière famille de logiciels malveillants à être découverte sur un marché d’applications légitime. En Février, les chercheurs ont identifié 8 applications Android sur Google Play distribuant le logiciel malveillant «Haken», qui exfiltre les données sensibles des victimes et les intègre secrètement sur des services d’abonnement premium coûteux. En Avril, une nouvelle campagne de spywares baptisée PhantomLance était distribuée via des dizaines d’applications dans Google Play.

David a déclaré que les utilisateurs d’Android peuvent se protéger en faisant attention aux autorisations demandées par une application et en vérifiant les notes des utilisateurs d’une application. “Si vous pensez que l’application demande plus que ce qu’elle promet de livrer, traitez cela comme un signal d’alarme”, a-t-il déclaré.