Cerberus sur le Play Store : le retour du virus « braqueur »

Repéré par les chercheurs en sécurité d’Avast, le très élaboré malware Cerberus s’est diffusé au travers de certaines applications du Google Play Store.

Planqué derrière une application de conversions de devises espagnole (Calculadora de Moneda), la nouvelle attaque de Cerberus a entrainé le piratage de 10 000 personnes. Le cas de ce malware est plutôt préoccupant puisqu’il cible les identifiants de nos applications bancaires. Vous avez beau être assuré par votre banque pour ce genre de désagrément, la surprise est totale et vous devez souvent attendre des semaines avant de récupérer les sommes dérobées…

Ce n’est pas la première fois que Cerberus alerte la sphère cybersécurité, en effet, déjà en début d’année, il était conçu pour voler les codes générés par Google Authentificator et s’était par la suite retrouvé derrière une fausse app d’informations autour du Coronavirus.

En contenant un accéléromètre, le malware analysait si le téléphone infecté était celui d’un vrai utilisateur qui le déplaçait régulièrement ou celui d’un chercheur qui testait l’appli dans un environnement Android émulé. S’il constatait que c’était potentiellement le second cas, alors il restait en sommeil permanent et évitait toute détection ! C’est un mécanisme notamment utilisé par Anubis, un malware du même acabit découvert en 2019.

Pour ne pas inquiéter les utilisateurs qui avaient téléchargé la calculatrice à devises, les créateurs avaient fait en sorte que celle-ci soit belle et bien fonctionnelle. Elle exécutait bien les recherches des utilisateurs mais au bout de quelques semaines, un nouvel APK était téléchargé sur le téléphone via cette app permettant aux pirates de se servir sur les comptes bancaires des victimes.

Une autre infection possible est celle du téléchargement d’un faux Adobe Flash Player après avoir visité un site Web piégé. Une fois installé, votre téléphone va lui aussi être infecté et les pirates récupèreront tous vos messages, y compris les codes d’authentification, et coordonnées bancaires pour accéder à votre compte. Ils pourront aussi procéder à de l’enregistrement audio/vidéo et utiliser la géolocalisation. En bref, ils pourront faire absolument ce qu’ils veulent de votre téléphone.

Plutôt que de procéder à une frappe chirurgicale massive, Cerberus fait preuve de patience en restant en sommeil pendant plusieurs semaines voire mois avant de déclencher l’activation de l’infection.

Google nettoie régulièrement son Play Store, mais il peut se passer des jours ou des semaines avant que certains malwares ne soient démasqués. Les risques sont tout de même minimes par rapport aux APK que l’on trouve à l’extérieur du magasin d’applis. Nous ne le répéterons jamais assez, quand vous souhaitez utiliser des applications dont vous n’êtes pas certains de la source : ne les téléchargez pas !