Perseus : le malware Android qui vole mots de passe et clés API

Title: Perseus : le malware Android qui vole mots de passe et clés API

Origines et historique Pour en savoir plus, consultez notre article sur faiblesses sur libsodium.

Perseus est un malware Android identifié récemment qui cible spécifiquement les applications de prise de notes pour extraire mots de passe, clés d'API et autres secrets stockés en clair¹ ^². Ce malware, qui s'inscrit dans une tendance plus large du vol de données sensibles sur mobile, est préoccupant car il exploite les comportements des utilisateurs, qui ont souvent tendance à garder des informations sensibles dans des notes rapides ou des mémos accessibles.

En parallèle, des menaces similaires se manifestent dans d'autres environnements de développement. Les pirates de TeamPCP ont récemment compromis LiteLLM, un paquet téléchargé plus de 90 millions de fois par mois. L'objectif de cette attaque est de voler des identifiants d'utilisateurs, ajoutant ainsi une couche supplémentaire de menace à l'écosystème d'applications largement utilisées par les développeurs Python. Cette compromission démontre que les attaquants ciblent diverses plateformes et outils pour accéder à des informations sensibles, reflétant une stratégie plus globale dans le domaine de la cybersécurité.

La distribution suit une logique classique d'ingénierie sociale. Des applications frauduleuses, déguisées en utilitaires légitimes ou en outils de productivité, servent de vecteur d'entrée. Ces applications sont parfois distribuées hors des magasins officiels, ce qui augmente le risque d'installer un code malveillant sur l'appareil². Une fois l'application installée, le malware cherche à obtenir des autorisations et à s'implanter de façon persistante pour survivre aux redémarrages et aux nettoyages superficiels¹.

Ce qui distingue Perseus des familles de malwares financières classiques, c'est sa focalisation sur la collecte de données textuelles dans les applications de notes. Les informations visées peuvent sembler anodines mais permettent aux attaquants d'accéder ensuite à des services en ligne, d'usurper des identités ou de lancer des attaques ciblées contre des organisations entières¹ ^³. Ce comportement est aggravé par la facilité avec laquelle les mots de passe et clés API peuvent être extraits des notes sur les smartphones Android, ce qui pose un risque accru pour les utilisateurs de ces appareils.

Fonctionnement technique

Vecteurs d'infection

Les méthodes d'infection observées comprennent la distribution via des applications trompeuses et des messages incitatifs poussant l'utilisateur à installer une mise à jour ou un utilitaire soi-disant nécessaire. Le sideloading d'applications depuis des sources non vérifiées reste un vecteur fréquent pour ce type de menace². La facilité avec laquelle les utilisateurs peuvent ignorer les avertissements de sécurité des appareils Android facilite encore l'infiltration de ce type de malware. De plus, avec des compromis comme celui de LiteLLM, les développeurs peuvent involontairement introduire des vulnérabilités dans les systèmes de leurs utilisateurs.

Escalade de privilèges et collecte des données

Perseus combine plusieurs techniques d'abus de fonctionnalités Android pour lire et capturer des contenus stockés dans des apps de notes :

Abus de l'API Accessibility: le malware peut lire l'écran et interagir avec l'interface des applications, comme si un assistant pilotait l'appareil en arrière-plan³.
Surveillance du presse-papiers: tout texte copié peut être capturé immédiatement, y compris mots de passe et tokens si l'utilisateur les copie depuis un gestionnaire de mots de passe ou une note non sécurisée³.
Accès aux fichiers locaux: les notes stockées sans chiffrement peuvent être lues directement par le composant malveillant si les permissions fichiers sont obtenues.
Chargement de code dynamique: Perseus peut télécharger des modules supplémentaires après l'installation pour étendre ses capacités, rendant l'analyse statique moins fiable et facilitant l'évasion des défenses³.
Exfiltration chiffrée: une fois collectées, les données sont envoyées vers des serveurs command-and-control via des canaux chiffrés, ce qui ralentit la détection par des contrôles réseau classiques.
Contre-mesures anti-analyse: techniques d'obfuscation, détection d'environnements d'analyse et activation conditionnelle de fonctions sensibles rendent l'investigation plus complexe³.

Ces étapes forment un cycle opérationnel simple à résumer: compromis initial, obtention d'autorisations, observation continue des entrées utilisateur et extraction des secrets. L'accent mis par Perseus sur les applications de prise de notes souligne la négligence fréquente des utilisateurs en matière de sécurité des mots de passe et autres informations sensibles. La situation de LiteLLM rappelle également aux utilisateurs qu'une mauvaise gestion des dépendances et bibliothèques peut exposer leurs systèmes à des menaces inédites.

Exigences techniques côté attaquant

Pour maintenir l'opération, les opérateurs déploient une infrastructure résiliente: serveurs redondants, rotation de domaines et mécanismes de mise à jour pour éviter le blocage rapide par les listes noires. Ils tirent parti du chargement dynamique pour faire évoluer le code sans repackager l'application observable² ^³.

Études de cas Pour en savoir plus, consultez notre article sur sécurité d'Ubuntu. Pour en savoir plus, consultez notre article sur Interlock ransomware.

Développeur stockant des clés API dans une note

Un développeur a sauvegardé des clés d'API dans Google Keep et a installé, sans le savoir, une application compromise. Les clés extraites ont permis des appels non autorisés à des services cloud, générant des factures inattendues et des coûts opérationnels élevés. Cet exemple montre l'effet domino d'une mauvaise hygiène des secrets: une fuite apparemment locale peut se transformer en coût financier pour une entreprise¹.

Journaliste stockant identifiants dans une application de notes

Un journaliste a conservé des identifiants et informations sensibles dans une app de notes non chiffrée; après la compromise, l'exfiltration a mis en danger des sources et la sécurité physique de personnes impliquées. Ce cas illustre le risque pour les professions exposées: l'impact dépasse le simple vol de données et touche la protection des individus¹.

Organisation affectée via BYOD

Dans un scénario BYOD (Bring Your Own Device), un employé a stocké des tokens d'API professionnels dans une note personnelle. Le malware, présent sur l'appareil, a exfiltré ces tokens, menant à une violation de données affectant plusieurs services internes. Les conséquences réglementaires et réputationnelles peuvent être lourdes pour l'organisation². En arrière-plan, les menaces telles que celles liées à LiteLLM soulignent l'importance de maintenir une vigilance constante sur les environnements de développement, car même des innocents dépôts de code peuvent devenir des portes d'entrée pour des attaques complexes.

Perspectives

Les tendances récentes montrent un déplacement des efforts des attaquants vers la collecte de secrets et d'identifiants plutôt que la fraude financière directe. Tokens, clés API et identifiants de services cloud sont des cibles particulièrement lucratives, car ils ouvrent la porte à une longue chaîne d'exploitation si l'accès n'est pas rapidement révoqué¹ ^³. Cette évolution souligne l'importance de la vigilance des utilisateurs face aux risques posés par des malwares tels que Perseus, qui exploitent des comportements quotidiens et donne également un aperçu des menaces émergentes, notamment celles qui pourraient découler des compromis de bibliothèques populaires comme LiteLLM.

Évolutions probables des défenses

Les outils de défense vont devoir s'adapter à cette typologie d'attaque:

Solutions MTD et EDR mobiles capables de repérer les abus de l'API Accessibility et la mise en mémoire des données sensibles à chaud.
Politiques empêchant le sideloading et favorisant un catalogue d'applications approuvées.
Déploiement d'agents réseau et dispositifs de détection capables d'identifier des exfiltrations chiffrées anormales et des connexions vers des domaines suspects² ^³.

Recommandations opérationnelles

Pour réduire l'exposition, les actions suivantes sont prioritaires:

Interdire le stockage de clés et de tokens dans des applications de notes non chiffrées et documenter des alternatives sécurisées pour les utilisateurs.
Mettre en place un coffre-fort de secrets (secret manager) avec audits, journaux d'accès et rotation automatique des clés.
Déployer des politiques MDM/EMM pour contrôler les applications autorisées, désactiver le sideloading et restreindre l'usage de l'API Accessibility aux apps approuvées.
Sensibiliser les employés: ne pas copier de secrets dans le presse-papiers, utiliser des gestionnaires de mots de passe et signaler les installations suspectes.
Surveiller les logs d'API et agir rapidement: en cas de compromission suspectée, révoquer et faire pivoter les clés exposées, révoquer les sessions et enquêter sur l'appareil compromis.

Perseus est un rappel qu'une mauvaise pratique apparemment mineure, comme stocker un token dans une note, peut conduire à une compromission beaucoup plus vaste. En combinant politiques techniques, outils adaptés et formation, les organisations peuvent considérablement réduire ce risque et limiter l'impact d'une fuite de secrets. De même, face à des attaques telles que celle de LiteLLM, la vigilance doit également s'étendre aux dépendances externes et aux bibliothèques utilisées dans l'élaboration de tout logiciel.

Questions fréquentes

Quelles permissions Android vérifier si je suspecte Perseus ?

Contrôler et retirer l'accès aux permissions AccessibilityService, Usage Access, READ_EXTERNAL_STORAGE et l'accès au presse-papiers lorsque possible. Vérifier aussi les apps autorisées à se lancer au démarrage (BOOT_COMPLETED) et celles exemptées des optimisations de batterie.

Si mes clés API ont été exposées via une note, quelles actions prioriser ?

1) Faire la rotation immédiate des clés et tokens compromis. 2) Révoquer les sessions et jetons actifs. 3) Auditer les logs d'API pour détecter usages anormaux. 4) Isoler et analyser l'appareil compromis et supprimer l'application malveillante.

Les antivirus mobiles détectent-ils Perseus ?

Certains scanners et solutions MTD/EDR peuvent repérer des comportements d'abus d'Accessibility et d'exfiltration, mais l'obfuscation et le chargement dynamique de Perseus réduisent l'efficacité des détections statiques. Une défense en profondeur combinant runtime, réseau et télémetrie est recommandée.

Les gestionnaires de mots de passe protègent-ils contre ce type d'attaque ?

Les gestionnaires réputés chiffrent les coffres et limitent l'accès via des API sécurisées. Le facteur de risque survient lorsque l'utilisateur copie un secret vers une note ou le presse-papiers: dans ce cas le secret peut être capturé.

Quelles mesures MDM empêchent ce type d'attaque en entreprise ?

Appliquer le whitelisting d'applications, désactiver le sideloading, interdire l'usage d'Accessibility pour les apps non approuvées, forcer le chiffrement des données et déployer des agents EDR mobiles capables de bloquer des comportements suspects.