Les personnes derrière le malware pour Android Cerberus veulent arrêter leur activité. Ils proposent donc un kit de cybercriminel clé en main à la vente.

Que se passe-t-il quand des cybercriminels décident d’arrêter leur activité ? Eh bien, à la manière de votre pharmacienne ou de votre boulanger, certains mettent leur fonds de commerce en vente.

C’est le cas des opérateurs de Cerberus, un cheval de Troie à destination des smartphones Android. Ils affirment ne plus avoir le temps pour assurer la maintenance 24 heures sur 24 et 7 jours sur 7 du malware, après que leur groupe se soit séparé. Dans une enchère repérée par le Bleeping Computer, ils proposent donc de transmettre leur activité cybercriminelle clé en main à un acheteur unique.

Cerberus peut lancer plus de 25 actions malveillantes sur les smartphones Android. // Source : Louise Audry pour Numerama

L’acheteur obtiendra le code source du malware, l’accès aux serveurs et la liste des clients de Cerberus. Aux petits soins, les criminels fournissent même un guide d’installation, et les scripts pour lier tous les composants. Prix de départ : 50 000 $. Si un acheteur veut s’assurer l’acquisition, il devra doubler ce montant.

Plus de 25 actions malveillantes réalisables

Les opérateurs de Cerberus ont commencé à louer leur service (pour environ 1 000 $ par mois) en 2019. Ils affirment qu’ils ont utilisé le malware à leur propre fin les deux années précédentes.

Son fonctionnement est relativement classique : il se présente comme une application bienveillante (par exemple, de fonds d’écran), mais contient une librairie (un SDK) malveillante. Les utilisateurs d’Android le récupèrent le plus souvent en téléchargeant une app hors du Google Play Store. Mais les malfaiteurs sont déjà parvenus à s’y immiscer, avant d’en être chassés après 10 000 téléchargements.

La particularité de Cerberus est qu’il observe le compteur de pas des smartphones, afin de s’activer uniquement quand l’utilisateur est en mouvement. L’objectif : éveiller le moins de soupçons.

Les vendeurs avancent sur leurs annonces de vente que leur bot permet de réaliser plus de 25 types d’actions malveillantes : vol d’information bancaire, interception de message, ouverture de site web, lancement d’autres apps, vol de mot de passe, envoi de SMS… En résumé, de quoi l’intégrer à toutes sortes de schémas d’attaque. Suffisant pour trouver acheter ?

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux