Les personnes derrière le malware pour Android Cerberus veulent arrêter leur activité. Ils proposent donc un kit de cybercriminel clé en main à la vente.

Que se passe-t-il quand des cybercriminels décident d’arrêter leur activité ? Eh bien, à la manière de votre pharmacienne ou de votre boulanger, certains mettent leur fonds de commerce en vente.

C’est le cas des opérateurs de Cerberus, un cheval de Troie à destination des smartphones Android. Ils affirment ne plus avoir le temps pour assurer la maintenance 24 heures sur 24 et 7 jours sur 7 du malware, après que leur groupe se soit séparé. Dans une enchère repérée par le Bleeping Computer, ils proposent donc de transmettre leur activité cybercriminelle clé en main à un acheteur unique.

Universal traîne Veoh devant les tribunaux

Cerberus peut lancer plus de 25 actions malveillantes sur les smartphones Android. // Source : Louise Audry pour Numerama

L’acheteur obtiendra le code source du malware, l’accès aux serveurs et la liste des clients de Cerberus. Aux petits soins, les criminels fournissent même un guide d’installation, et les scripts pour lier tous les composants. Prix de départ : 50 000 $. Si un acheteur veut s’assurer l’acquisition, il devra doubler ce montant.

Plus de 25 actions malveillantes réalisables

Les opérateurs de Cerberus ont commencé à louer leur service (pour environ 1 000 $ par mois) en 2019. Ils affirment qu’ils ont utilisé le malware à leur propre fin les deux années précédentes.

Son fonctionnement est relativement classique : il se présente comme une application bienveillante (par exemple, de fonds d’écran), mais contient une librairie (un SDK) malveillante. Les utilisateurs d’Android le récupèrent le plus souvent en téléchargeant une app hors du Google Play Store. Mais les malfaiteurs sont déjà parvenus à s’y immiscer, avant d’en être chassés après 10 000 téléchargements.

La particularité de Cerberus est qu’il observe le compteur de pas des smartphones, afin de s’activer uniquement quand l’utilisateur est en mouvement. L’objectif : éveiller le moins de soupçons.

Les vendeurs avancent sur leurs annonces de vente que leur bot permet de réaliser plus de 25 types d’actions malveillantes : vol d’information bancaire, interception de message, ouverture de site web, lancement d’autres apps, vol de mot de passe, envoi de SMS… En résumé, de quoi l’intégrer à toutes sortes de schémas d’attaque. Suffisant pour trouver acheter ?