Pensez par exemple aux codes de récupération, aux données financières ou même aux notes personnelles que vous avez enregistrées à la va-vite. Il s’agit d’une évolution notable, car ce type de données était jusqu’à présent rarement pris pour cible de manière aussi ciblée.
Diffusé via des applications IPTV douteuses
Ce logiciel malveillant se propage via des boutiques d’applications non officielles et se fait passer pour des applications IPTV, qui permettent souvent de regarder des matchs en streaming gratuitement ou à moindre coût. C’est là que réside le danger : les utilisateurs qui installent ce genre d’applications ont généralement déjà l’habitude de télécharger des fichiers APK en dehors du Play Store et d’ignorer les avertissements.
L’une des applications découvertes par les chercheurs s’appelle Roja Directa TV. Elle sert de « dropper », c’est-à-dire qu’elle installe le véritable logiciel malveillant sur l’appareil.
Selon la société de sécurité ThreatFabric, Perseus utilise des techniques déjà observées dans d’autres logiciels malveillants bancaires pour Android, tels que Klopatra et Medusa. Sa base remonterait même à un ancien code source de Cerberus qui avait fait l’objet d’une fuite.
Un contrôle total sur votre smartphone
Une fois activé, le logiciel malveillant prend le contrôle total de l’appareil. En exploitant les fonctionnalités d’accessibilité d’Android, un pirate peut notamment réaliser des captures d’écran et observer l’écran en direct, ouvrir et utiliser des applications comme s’il se trouvait lui-même sur l’appareil, enregistrer les frappes au clavier, afficher de fausses fenêtres pour voler des données et mettre l’écran en noir pour dissimuler ses actions.
De plus, le logiciel malveillant est capable de s’adapter en fonction du degré de « suspicion » que suscite un appareil. Il vérifie notamment s’il s’agit d’un émulateur, combien d’applications sont installées et même si le Bluetooth est activé.
Les notes : une nouvelle mine d’or
Ce qui distingue vraiment Perseus, c’est qu’il cible spécifiquement les applications de prise de notes. Le logiciel malveillant parcourt notamment Google Keep, Samsung Notes, Evernote et Microsoft OneNote à la recherche d’informations exploitables. Selon les chercheurs, ce n’est pas un hasard. Les notes contiennent souvent précisément les données que les utilisateurs n’osent enregistrer nulle part ailleurs : mots de passe, codes PIN ou phrases de récupération pour les portefeuilles cryptographiques.
Pour l’instant, la campagne vise principalement les institutions financières de pays tels que la Turquie et l’Italie, mais les utilisateurs d’autres pays européens sont également exposés à ce risque. En outre, ce logiciel malveillant cible également divers services de cryptomonnaie. Il est intéressant de noter qu’il existe une variante en anglais dotée de fonctionnalités plus avancées et comportant même des emojis dans son code, un détail qui, selon les chercheurs, pourrait indiquer l’utilisation d’outils d’IA lors de son développement.
Voici comment limiter les risques
Le message reste le même, mais n’en est pas moins important pour autant : n’installez pas d’applications provenant de sources douteuses et évitez les services de streaming illégaux. Privilégiez l’utilisation exclusive du Google Play Store officiel et veillez à ce que les fonctionnalités de sécurité telles que Play Protect restent activées. Car de nos jours, un seul téléchargement malveillant peut suffire à vous faire perdre le contrôle total de votre smartphone.
