Android : le malware Cerberus revient chasser les comptes bancaires

Android

Par Antoine Gautherie le

Cerberus, un dangereux malware qui sévit par intermittence depuis plus d’un an, est réapparu récemment sur une application bancaire espagnole. Il s’agit d’un chasseur de comptes bancaires particulièrement discret, dont le retour nécessite d’être particulièrement prudent sur les applications que l’on télécharge.

© Michael Geiger- Unsplash

Les chercheurs en sécurité d’Avast sont sur le pied de guerre. Aujourd’hui, les équipes de l’entreprise qui commercialise l’antivirus ont débusqué un nouveau malware très élaboré, qui se propage via le Google Play Store et s’attaque à vos identifiants bancaires. Celui-ci se comportait d’ailleurs de manière particulièrement vicieuse. L’application qui servait de vecteur à ce virus était une application bancaire espagnole baptisée Calduladora de Moneda. Celle-ci demeurait tout à fait inoffensive et ne montrait aucun signe d’hostilité pendant plusieurs semaines, ce qui lui a permis de passer entre les mailles du filet. Sauf que l’auteur de l’application malveillante y avait intégré une porte dérobée qui lui permettait donc de communiquer avec un serveur C2 : schématiquement, il s’agit de la “télécommande” qui permet à un pirate d’interagir avec son virus et les ordinateurs qu’il a infecté, rassemblés sous le terme de botnet. Après une période d’hibernation, l’application contactait donc ce serveur C2 pour télécharger un nouvel APK, qui contenait cette fois le malware à proprement parler.

À première vue, le risque semblait relativement limité en France Le problème, c’est que lorsque les chercheurs du site spécialisé Threat Fabric l’ont décortiqué pour la première fois en 2019, ce virus qui se cache dans la mémoire vive de l’appareil contenait déjà plusieurs modèles de superposition, y compris pour 7 applications bancaires françaises. Il s’agit d’une série d’instructions qui permet, comme son nom l’indique, de se superposer à une application légitime pour intercepter les informations que tape l’utilisateur. Inutile de vous détailler les conséquences que cela peut avoir dans le cadre d’applications bancaires. Si ces applications ont été nettoyées depuis, cela témoigne cependant de la flexibilité de l’outil, développé par des américains extrêmement sûrs de leur fait. Tellement sûrs, en fait, que les auteurs se permettaient même des provocations surréalistes à l’attention des chercheurs en cybersécurité sur Twitter.

Et si les pirates ont tellement confiance en leur produit, c’est qu’il regorge de fonctionnalités avancées permettant d’esquiver les différents mécanismes de détection. Par exemple, le malware ne s’exécute que si l’accéléromètre détecte des mouvements, ce qui lui indique qu’il s’agit bien d’un vrai smartphone et pas d’un environnement contrôlé simulé par un chercheur en cybersécurité. Un fonctionnement déjà présent sur le tristement célèbre Anubis, cet autre malware bancaire qui avait semé la zizanie pendant l’été 2019.  Et une fois activé, il ne se contente pas uniquement de la bête attaque par superposition citée plus haut. Il propose tout le package des fonctionnalités classique du malware Android, avec la capacité de gérer les messages, enregistrer l’audio, tracer la localisation, et bien d’autres joyeusetés. Cerberus est même capable de consulter les mails et textos pour intercepter des codes à usage unique, et ainsi accéder à des services pourtant bien protégés.

Cette ré-émergence de Cerberus était malheureusement plus ou moins attendue, dans la mesure où le malware n’hésite pas à faire patiemment le sous-marin pendant des semaines, voire des mois avant de frapper : il est donc très difficile à détecter, et encore plus à éradiquer. Malheureusement, il y a donc fort à parier que Cerberus resurgisse dans une autre application d’ici quelques mois. La dernière en date, avant cet outil bancaire espagnol, n’était autre qu’une application dédiée au Coronavirus… s’il ne s’agissait pas de faits aussi graves, on pourrait presque trouver la mise en abîme intéressante. Mais pour le moment, la seule façon de se prémunir d’un tel malware reste -on ne le répétera jamais assez- de ne jamais télécharger,  sous aucun prétexte, d’application de gestion de données sensibles comme vos coordonnées bancaires si elle n’est pas éditée par un organisme fiable comme votre banque.

Android Security Internals: An...
26 Commentaires
Android Security Internals: An...
  • Elenkov, Nikolay (Author)
  • 432 Pages - 10/14/2014 (Publication Date) - No Starch Press (Publisher)