JAKARTA - Un nouveau danger menace de nouveau l’écosystème Android. Un malware nommé Perseus est rapporté pour pouvoir infiltrer les dévices et détecte activement les applications de notes personnelles pour voler des données sensibles, des mots de passe aux phrases de récuperée de crypto.
Dans le dernier rapport de la firme de cybersécurité ThreatFabric, Perseus est identifié comme un type de trojan qui se fait passer pour une application de streaming populaire. Ce malware ne circule pas via le Google Play Store, mais est distribué via des boutiques d’applications non officielles et des fichiers APK tiers.
Les auteurs ont exploité la coutume des utilisateurs de télécharger des applications illégales, en particulier des services IPTV pour regarder des émissions sportives piratées. Derrière l’apparence de l’application, se cache un payload dangereux qui commence à fonctionner une fois l’application installée sur le périphérique.
Contrairement aux trojans bancaires conventionnels qui volent généralement le code OTP ou enregistrent les saisies, Perseus adopte une approche plus invasive. Ce malware utilise la fonction Accessibility Services pour ouvrir et parcourir les applications de notes des utilisateurs de manière systématique.
L’objectif n’est pas n’importe quelle application. Perseus vise spécifiquement des services populaires tels que Google Keep, Samsung Notes, Evernote et Microsoft OneNote. En outre, des applications telles que Xiaomi Notes, ColorNote et Simple Notes figurent également sur la liste des cibles.
A partir de l’application, le malware lit le contenu du texte pour rechercher des informations cruciales, y compris les mots de passe des comptes, les détails bancaires, jusqu’à la phrase de récupération du portefeuille de crypto-monnaie - des données que les utilisateurs conservent souvent dans des notes personnelles pour faciliter l’accès.
Les chercheurs ont déclaré que c’était l’un des premiers cas où un malware Android a été spécifiquement conçu pour extraire des données des notes que l’utilisateur a lui-même compilées, et non seulement des données qui passent par le système.
Avant de mener à bien son action, Perseus a également effectué une série de vérifications sur le périphérique, y compris l’état du matériel, l’état de la batterie et le nombre d’applications installées. Cette étape est censée éviter la détection et s’assurer que la cible est assez « digne » pour être exploitée.
Actuellement, la campagne d'attaque de Perseus a identifié des utilisateurs en Turquie et en Italie, en se concentrant sur des dizaines d'institutions financières locales et des services de cryptographie. Cependant, le modèle de distribution qui repose sur le sideloading laisse la porte ouverte à une propagation mondiale potentielle.
Les experts en securite rappellent que la pratique de télécharger des applications en dehors des boutiques officieuses est la principale faille d’introduction de cette menace. Les utilisateurs sont consérables de continuer à utiliser des sources officielles telles que Google Play Store et d’éviter d’installer des fichiers APK provenant de sources non fiables.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
