Un nouvel acteur malveillant a éclaté dans l'écosystème Android et, bien que son nom - Perseus - peut sonner comme la mythologie, ce qu'il fait est purement technologique et inquiétant: c'est une famille de logiciels malveillants axée sur prendre le contrôle de l'appareil et voler des renseignements financiers et personnels de grande valeur. Les chercheurs en sécurité ont documenté comment cette menace réutilise et perfectionne les techniques connues - héritées de familles comme Cerberus et Phoenix - pour offrir aux agresseurs une télécommande presque totale sur les téléphones infectés.
Les signes qui identifient Perseus ne découlent de rien : leur développement est basé sur des codes et des méthodes déjà vus dans d'autres projets malveillants, mais avec des améliorations visant à rendre la fraude plus efficace. Pour comprendre son évolution, il suffit de lire l'analyse technique publiée par la société ThreatFabric, qui explique en détail comment Perseus combine des fonctions de télécommande avec des capacités d'extraction de lettres d'identification et de notes stockées dans des applications communes. Vous pouvez vérifier ce rapport sur le site de l'entreprise ThirFabric et de revoir l'histoire de Cerberus dans son dossier de recherche Voilà..
La forme de distribution que les analystes ont observée suit une tactique connue : les applications « dropper » qui passent par des services légitimes, en l'occurrence principalement les plateformes IPTV qui promettent du contenu premium. Certains utilisateurs à la recherche d'applications en dehors des magasins officiels finissent par installer le dropper, et de là, vous téléchargez la charge malveillante qui demande des permis d'accessibilité et d'autres autorisations puissantes. Cette stratégie de tromperie est efficace car elle est basée sur le comportement normal de l'utilisateur: sideloading pour voir du contenu multimédia qui n'est pas dans le magasin officiel.
Une fois à l'intérieur de l'appareil, Perseus utilise le service d'accessibilité d'Android pour orchestrer deux types d'attaque clés. D'une part, il lance des écrans "overlay" ou recoupements qui simulent des interfaces bancaires ou des services de cryptomoneda pour capturer des identifiants au moment où l'utilisateur les introduit. D'autre part, il démarre des sessions distantes qui permettent à l'attaquant de voir l'écran en temps réel et même d'interagir avec lui: allumer ou arrêter ce flux visuel, prendre des captures, simuler des touches dans des coordonnées spécifiques, des applications ouvertes ou des installations de force d'origine inconnue. En outre, les logiciels malveillants ajoute des fonctionnalités remarquables: la capacité d'examiner les demandes de note Comme Google Keep ou Evernote pour extraire des données sensibles que les utilisateurs y sauvegardent habituellement (mots de passe, clés, codes, notes financières).
Les outils disponibles pour l'opérateur distant ne sont pas des accessoires : ils permettent de commencer une session VNC presque en temps réel à envoyer des commandes qui cachent l'activité criminelle - par exemple, afficher un écran noir pour que la victime ne voit pas ce qui se passe - ou autoriser des transactions frauduleuses programmatiques. Ces actions sont contrôlées par un panneau de contrôle (C2), ce qui facilite l'automatisation et l'adaptation des attaques à chaque cible.
Perseus s'est également montré intéressé à éviter les analyses médico-légales et les environnements de laboratoire : il effectue des vérifications pour détecter les cadres d'instrumentation tels que Frida ou Xposed, vérifie la présence d'une carte SIM, le nombre d'applications installées et la charge de la batterie. Avec ces indicateurs, il calcule un score « suspect » qu'il envoie à son centre de contrôle pour décider s'il faut procéder au vol de données ou avorter l'opération. Cette approche réduit l'exposition et améliore l'efficacité de la fraude.
Une autre caractéristique curieuse du code est la présence de traces qui suggèrent que les développeurs auraient pu se fier à des modèles de langage pour accélérer des parties du développement, quelque chose mis en évidence par des enregistrements étendus dans l'application et de petites marques stylistiques dans le code source. La famille Phoenix avait déjà été documentée dans les analyses précédentes et il y a une discussion technique sur l'évolution de ces familles; une analyse de Phoenix qui aide à contextualiser cette évolution peut être consultée dans la publication Moyenne cité par les analystes.
Les attaques signalées par MenaceFabric ont eu une portée géographique: la Turquie et l'Italie apparaissent comme des cibles prioritaires, bien que des campagnes ayant touché les utilisateurs en Pologne, en Allemagne, en France, aux Émirats arabes unis et au Portugal aient été identifiées. Le modèle de distribution d'application IPTV permet aux attaquants d'entrer dans une niche d'utilisateurs avec une plus grande probabilité de chargement latéral.
Si vous vous demandez comment vous protéger, il existe des mesures pratiques qui réduisent grandement le risque. Premièrement, il évite d'installer des applications à partir de sources peu fiables; l'installation à l'extérieur du magasin officiel est le vecteur le plus fréquent pour ce type de famille. Gardez le système d'exploitation et les applications à jour, examinez les permis qui donnent accès à des services sensibles (surtout l'accessibilité) et activez des mécanismes de protection supplémentaires tels que la vérification en deux étapes pour vos comptes bancaires et postaux. Google offre des informations sur la protection des applications et Play Protect dans son centre d'aide Jouer protéger et l'agence nationale de cybersécurité du Royaume-Uni publie des recommandations pratiques sur la sécurité des appareils mobiles qui peuvent être consultées à la CNSC.
Si vous pensez que votre téléphone a été compromis par une menace similaire, il est sûr de couper l'accès de l'agresseur dès que possible: déconnecter les services, révoquer les autorisations des paramètres, exécuter un balayage avec une solution anti-malware reconnue et, si les panneaux de télécommande persistent, sauvegarder les données et effectuer une restauration en usine. Il convient également d'informer la banque ou le fournisseur financier et de modifier les mots de passe d'un appareil propre. Pour améliorer l'hygiène numérique à long terme, des ressources telles que le projet OWASP offrent des guides de sécurité mobiles qui aident à comprendre les menaces et les bonnes pratiques courantes : OWASP Mobile.
Perseus n'invente pas de nouvelles attaques, mais illustre comment les développeurs de logiciels malveillants combinent des outils connus avec des améliorations tactiques pour presser plus de valeur de l'appareil infecté. La leçon pour les utilisateurs et les organisations est claire : La réduction des risques dépend à la fois des contrôles techniques et des décisions quotidiennes lors de l'installation et de l'octroi de permis aux applications.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...