Google Play cache un dangereux malware capable de vider votre compte en banque

Google Play cache un dangereux malware capable de vider votre compte en banque. Ce maliciel est un cheval de Troie bancaire appelé Cerberus. Les chercheurs en sécurité informatique d'Avast l'ont découvert dans un convertisseur de devises disponible en téléchargement sur le marché d'applications de Google. 

Alors que Google vient tout juste de retirer du Play Store 25 applications capables de voler vos identifiants Facebook, la firme de Mountain View a encore du ménage à faire. En effet, les chercheurs en sécurité informatique de la société Avast ont découvert que le cheval de Troie bancaire Cerberus se cachait dans une application espagnole de conversion de devises.

Appelée simplement Calculadora de Moneda, cette appli cumule 10 000 téléchargements. D'après les experts d'Avast, l'application malveillante a réussi à déjouer les systèmes de sécurité de Google en se présentant et en agissant comme une application légitime pendant les premières semaines qui ont suivi son lancement.

Les pirates ont alors attendu que l'application se constitue une base suffisante d'utilisateurs pour déclencher un code dormant et déployer le trojan bancaire Cerberus. Ce code, qui relie l'appli à un serveur de commande et de contrôle C2, ordonne alors à l'appli de télécharger une APK supplémentaire sur les smartphones des utilisateurs.

À lire également : Android – attention à ce faux SMS de livraison de colis, il propage un dangereux malware !

L'art de la dissimulation

Ceci fait, Cerberus peut rentrer en action. Pour rappel, ce trojan se superpose aux applications bancaires ou financières installées sur votre appareil. Confortablement dissimulé en arrière-plan, le cheval de Troie attend patiemment qu'un utilisateur lance l'une de ses applications et rentre ses identifiants de connexion.

Les données sont alors récupérées par le maliciel et transmises aux pirates. Avast précise que l'efficacité de Cerberus est redoutable puisque le malware est capable d'accéder aux textos pour intercepter d'éventuels codes d'accès à usage unique (des OTP) ainsi que des données utilisées dans l'authentification à double facteurs.

Ce lundi 6 juillet, les chercheurs d'Avast ont assuré que le serveur C2 et le trojan Cerberus avaient disparu du convertisseur de devises. Pour autant, il ne faut pas crier victoire trop rapidement. En effet, les cybercriminels ont pour l'habitude de “limiter la fenêtre temporelle où l'activité malveillante peut être découverte” afin “d'éviter les protections et la détection”. En d'autres termes, il est fort possible que Cerberus revienne dans cette appli ou dans une autre.

À lire également : Ce malware Android vole les codes double facteur de Google Authenticator

Source : Zdnet