fbpx
ActualitésAppsGoogleHigh TechSécurité

Le cheval de Troie bancaire Cerberus est arrivé sur Google Play

Des chercheurs en sécurité ont découvert le cheval de Troie bancaire Cerberus déguisé en application de monnaie légitime sur Google Play.

Mardi, l’équipe de cybersécurité d’Avast a déclaré que l’application malveillante en question se présentait comme une application de conversion de devises légitime conçue pour les utilisateurs espagnols.

Au total, le logiciel «Calculadora de Moneda», traduit par Currency Calculator, a été téléchargé plus de 10 000 fois.

Nos appareils mobiles, y compris les smartphones et les tablettes, sont désormais souvent des produits clés qui sont utilisés non seulement pour la communication avec les amis et la famille, mais aussi pour le divertissement, le travail et comme passerelles vers nos comptes financiers.

En conséquence, les logiciels malveillants mobiles sont devenus une menace courante aujourd’hui. Pour essayer de garder les applications malveillantes hors de nos appareils, des fournisseurs tels que Google et Apple ont établi des mesures de sécurité strictes pour les logiciels hébergés dans leurs référentiels d’applications officiels et fiables.

À l’occasion, cependant, des menaces parviennent toujours à glisser le filet.

L’application malveillante a contourné les barrières de sécurité de Google en se présentant et en agissant comme une application légitime pendant les premières semaines après avoir été acceptée sur Google Play. Il semble que lorsque les utilisateurs ont commencé à télécharger l’application en mars, le logiciel, dans un premier temps, n’a causé aucun préjudice et a en fait agi comme un utilitaire légitime – et utile -.

Cependant, après avoir instillé la confiance dans la base d’utilisateurs croissante, l’application a ensuite déclenché un code dormant qui est devenu un compte-gouttes pour le cheval de Troie Cerberus.

Code qui connectait Calculadora de Moneda à un serveur de commande et de contrôle (C2) activé plusieurs semaines plus tard, commandant à l’application de télécharger un package d’application Android (APK) supplémentaire sur les appareils.

Une fois exécuté, l’APK a supprimé Cerberus, un cheval de Troie relativement nouveau qui est en circulation depuis juin 2019.

Le malware crée une superposition sur les applications bancaires et financières existantes. Cerberus se cachera en arrière-plan, attendant qu’un utilisateur saisisse les informations d’identification de son compte, dont ces informations sont ensuite volées et envoyées au C2 de l’attaquant.

Avast a noté que le logiciel malveillant est suffisamment sophistiqué pour lire vos messages texte – souvent utilisé pour fournir des codes d’accès uniques (OTP) – ainsi que pour saisir des détails d’authentification à deux facteurs (2FA). Ces mesures de sécurité visent à protéger davantage nos sessions bancaires en ligne, mais Cerberus peut contourner ces contrôles.

Les chercheurs de ThreatFabric examinant les souches de Cerberus ont déclaré que ces capacités peuvent être utilisées pour voler des OTP générés via Google Authenticator, conçus comme une alternative aux codes d’accès 2FA basés sur SMS.

Lundi, les chercheurs d’Avast ont noté que, dans la soirée, le serveur C2 avait disparu et Cerberus avait disparu de l’application de conversion de devises. Cela ne signifie cependant pas que l’application ne doit pas encore être considérée comme malveillante – et comme une menace.

«Bien qu’il ne s’agisse que d’une courte période, c’est une tactique que les fraudeurs utilisent fréquemment pour se cacher de la protection et de la détection, c’est-à-dire limiter la fenêtre temporelle où l’activité malveillante peut être découverte», explique Avast.

Google a été informé des conclusions du chercheur.

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer