Un nouveau virus baptisé Perseus s’attaque aux smartphones Android en se cachant dans des apps IPTV populaires. Après s’être glissé sur le téléphone, il va se mettre à fouiller dans les applications de notes. En ciblant Google Keep, Samsung Notes, Evernote ou encore Simple Notes, ce malware cherche à mettre la main sur vos secrets.
Un énième malware s’est lancé à l’attaque des smartphones Android : Perseus. Épinglé par les chercheurs de ThreatFabric, ce logiciel malveillant est capable de prendre le contrôle complet d’un smartphone. Il vise surtout les applications de notes, telles que Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote et Simple Notes. En fouillant dans les notes des utilisateurs, le virus cherche des informations sensibles, comme des mots de passe, des phrases de récupération de portefeuilles crypto, et d’autres données financières.
À lire aussi : 270 millions d’iPhone en danger – un site web piégé permet de siphonner vos données en quelques minutes
Un virus caché dans des apps IPTV
Pour se propager sur le smartphone de ses cibles, Perseus se cache dans des applications IPTV populaires, comme Roja Directa TV, TvTApp et PolBox Tv, qui sont surtout utilisées pour regarder du sport en streaming. Les applications infectées sont diffusées sur des boutiques d’apps Android non officielles. En d’autres termes, le virus n’est pas parvenu à pénétrer sur le Play Store, et c’est déjà une bonne nouvelle. Comme le souligne le rapport, « Perseus se fond dans des habitudes d’installation déjà risquées, ce qui réduit la méfiance des victimes et augmente fortement le taux d’infection ».
Une fois installé sur le téléphone de sa future victime, le malware va réclamer l’activation des services d’accessibilité. Ces paramètres, censés aider les personnes malvoyantes à se servir du smartphone, sont régulièrement détournés par des logiciels malveillants. C’est d’ailleurs le mode opératoire de redoutables maliciels récents, comme Snowblind.
Une fois qu’il a obtenu les autorisations nécessaires, Perseus peut se comporter comme un véritable utilisateur du téléphone. Il peut alors simuler des appuis et des glissements sur l’écran, saisir du texte, ouvrir ou bloquer des applications, rallumer l’écran et peut même afficher un écran noir pour cacher ce qu’il est vraiment en train de faire.
Avant de se déployer sur tout le système, le malware va collecter une série d’informations sur l’appareil sur lequel il se trouve. Il va notamment s’intéresser au modèle du téléphone, au niveau de batterie, à la carte SIM, au nombre d’applications installées ou encore à la présence des services Google Play. En clair, le virus cherche à savoir où il a mis les pieds, et surtout, s’il n’est pas tombé sur un environnement sécurisé, mis en ligne par des chercheurs en guise d’appât.
À lire aussi : Impossible à désinstaller – ce virus utilise Gemini pour s’incruster dans votre smartphone
Voler des données sensibles à tout prix
S’il détermine qu’il se trouve sur un véritable smartphone, Perseus va se mettre à observer comment la victime utilise ses applications bancaires, de cryptomonnaies ou d’e‑commerce. Il va aussi réaliser des captures de tout ce qu’il voit, évidemment sans que la victime ne puisse se rendre compte de quoi que ce soit. Ensuite, Perseus va afficher de fausses fenêtres par-dessus les applications pour tromper la victime. Ces fausses fenêtres vont permettre de récupérer des identifiants ou des codes de double authentification. Il peut aussi enregistrer tout ce que la personne tape, comme ses mots de passe ou ses identifiants, lorsqu’elle se connecte à ses comptes en ligne.
En parallèle, Perseus va aller faire un petit tour dans les applications de notes de votre smartphone. Comme expliqué plus haut, il parcourt toutes les notes disponibles sur l’appareil à la recherche d’éléments sensibles qui peuvent permettre de voler des cryptomonnaies ou de s’emparer de votre argent. Toutes les données trouvées sont regroupées et envoyées au pirate. Avec les identifiants bancaires, crypto et les données trouvées dans les notes, l’attaquant peut vider les comptes et prendre le contrôle d’autres services en ligne, comme votre messagerie, votre compte Facebook ou encore votre compte PayPal.
« Les notes contiennent souvent des informations sensibles telles que des mots de passe, des phrases de récupération, des données financières ou des pensées privées, ce qui en fait une cible de choix pour les pirates informatiques », explique ThreatFabric.
Avec l’ensemble des outils à sa disposition, Perseus est capable de faire tout ce qu’il veut. Tant que la victime ne désinstalle pas l’application malveillante et ne réinitialise pas l’appareil, le virus continuera de fonctionner et d’aspirer toutes les informations qu’il peut. Selon les investigations des chercheurs, Perseus vise 9 applications crypto et des dizaines de banques, dont deux établissements en France. Le rapport ne précise pas le nom des banques qui se sont retrouvées dans le viseur de Perseus.
Pas de données sensibles dans les notes
Comme toujours, on vous recommande de ne pas installer d’applications en dehors d’une boutique officielle et reconnue, comme le Play Store. Surtout, ne commettez pas l’erreur de stocker des informations sensibles dans vos notes. Les mots de passe, les identifiants et les clés crypto doivent être stockés sur des supports dédiés. Vos mots de passe doivent être stockés dans un gestionnaire de mots de passe, et vos clés crypto doivent être détenues hors ligne.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Threat Fabric