New Perseus Android Banking Malware Monitors Notes Apps to Extract Sensitive Data
Mis à jour :
Perseus : Le nouveau cheval de Troie bancaire Android
Points clés Le malware Perseus, basé sur les codes sources de Cerberus et Phoenix, est une nouvelle menace visant les utilisateurs Android. Distribué via des sites de phishing sous l’apparence d’applications IPTV, il cible principalement des pays européens (dont la France, l’Italie et l’Allemagne). Le malware utilise les services d’accessibilité d’Android pour prendre le contrôle total des appareils (Device Takeover), intercepter les données en temps réel et effectuer des transactions frauduleuses. Une nouveauté notable est sa capacité à scanner spécifiquement le contenu des applications de prise de notes (Google Keep, Samsung Notes, Evernote, etc.) pour exfiltrer des informations sensibles.
Vulnérabilités exploitées
- Abus du service d’accessibilité : Le malware détourne les fonctionnalités d’accessibilité natives d’Android pour obtenir des permissions étendues, capturer des frappes au clavier, superposer des écrans frauduleux (overlay attacks) et contrôler l’interface utilisateur à distance (VNC/HVNC).
- Note : Aucune CVE spécifique n’est mentionnée, car l’attaque repose sur l’exploitation légitime mais détournée de permissions système.
Recommandations
- Éviter le sideloading : Ne jamais installer d’applications en dehors des boutiques officielles (Google Play Store).
- Méfiance vis-à-vis des services IPTV : Se montrer particulièrement vigilant face aux applications proposant des services de streaming premium gratuits ou non officiels.
- Surveiller les permissions : Restreindre strictement l’accès aux services d’accessibilité pour les applications dont la fonctionnalité ne le nécessite pas explicitement.
- Protection des données : Éviter de stocker des informations extrêmement sensibles (mots de passe, clés privées, codes PIN) dans des applications de notes non sécurisées ou en clair.