Comment supprimer Perseus des appareils infectés

De quel type de logiciel malveillant s'agit-il avec Perseus ?

Perseus est un logiciel malveillant pour Android créé à partir d'éléments de logiciels malveillants antérieurs (tels que Cerberus et Phoenix) et doté de nouvelles fonctionnalités. Il permet aux pirates de surveiller et de contrôler un appareil infecté en temps réel. Ce logiciel malveillant intègre des mécanismes de protection sophistiqués destinés à échapper à la détection et à l'analyse des outils de sécurité.

Persée en détail

Le code source du logiciel malveillant d'origine, Cerberus, a été divulgué en 2020, ce qui a permis à d'autres pirates de le réutiliser et de le modifier. Cela a conduit à l'apparition de nouvelles familles de logiciels malveillants, telles que Ermac et Phoenix. Perseus s'inspire principalement de Phoenix. Il existe deux versions de ce logiciel malveillant : une ancienne et une plus récente (qui se propage actuellement).

L'une utilise l'anglais dans le code, tandis que l'autre utilise le turc. La version anglaise comporte des fonctionnalités de développement supplémentaires et a probablement été codée à l'aide de l'intelligence artificielle, tandis que la version turque est plus simple et plus discrète.

Évaluation des appareils et contournement des analyses

Perseus analyse l'appareil pour déterminer s'il s'agit d'un véritable téléphone ou d'un environnement d'analyse ou de test. Il recherche notamment des éléments tels que l'accès root, des outils de débogage, des émulateurs ou de faux paramètres de l'appareil. Il vérifie également la présence de caractéristiques réalistes telles qu'une carte SIM, des applications installées, des capteurs, le comportement de la batterie, le Bluetooth et les services Google Play. Il transmet ensuite ces résultats aux cybercriminels afin qu'ils décident si l'appareil mérite d'être ciblé.

Informations ciblées

Perseus dispose d'une fonctionnalité qui lui permet de lire les notes stockées sur un appareil infecté. Contrairement aux logiciels malveillants classiques qui visent principalement à voler des mots de passe ou des messages, il cible les notes personnelles, qui peuvent contenir des informations sensibles telles que des mots de passe ou des données financières. Dans l'une de ses versions, il utilise une commande qui détecte les applications de prise de notes, les ouvre et passe en revue les notes enregistrées.

Les applications de prise de notes visées comprennent ColorNote Notepad Notes, Evernote - Note Organizer, Google Keep - Notes and Lists, Microsoft OneNote, Samsung Notes, Simple Notes, Simple Notes Pro et Xiaomi Notes (la liste peut inclure d'autres applications). Pour voler des informations contenues dans les notes, le logiciel malveillant utilise les fonctionnalités d'accessibilité d'Android.

Il peut naviguer dans l'application ciblée, appuyer sur des éléments et revenir en arrière. Cela lui permet d'ouvrir des applications de prise de notes, de lire les notes et d'enregistrer les informations sans que l'utilisateur ne s'en aperçoive.

Autres fonctionnalités

Perseus prend en charge diverses commandes. Grâce à ce logiciel malveillant, les cybercriminels peuvent toucher, appuyer, taper et faire glisser leur doigt sur l'écran, ouvrir des applications, revenir en arrière et naviguer dans le téléphone (écran d'accueil, applications récentes, défilement, gestes). Ils peuvent également saisir du texte dans des champs, modifier du texte et même réactiver l'écran s'il est éteint.

De plus, les pirates peuvent prendre le contrôle de l'appareil à distance en démarrant et en arrêtant des sessions d'écran en direct (VNC et HVNC) et en capturant des captures d'écran pour voir ce que fait la victime. Perseus permet également aux cybercriminels de dissimuler leurs activités en affichant un écran noir et en coupant le son.

De plus, Perseus peut bloquer ou débloquer des applications, lancer des applications et même guider l'utilisateur pour qu'il active certains paramètres, comme l'installation d'applications provenant de sources inconnues. Il peut tenter de déverrouiller l'appareil à l'aide de codes PIN ou récupérer les informations de déverrouillage, et il peut enregistrer et reproduire des gestes.

De plus, ce logiciel malveillant peut voler des informations en modifiant le presse-papiers et en accédant aux autorisations relatives aux SMS. Il peut envoyer des notifications, charger ou supprimer des fonctionnalités supplémentaires, et vérifier leur état.

Conclusion

Perseus est un logiciel malveillant Android très sophistiqué capable de prendre le contrôle d'un appareil et de voler des informations sensibles. Sa capacité à surveiller, contrôler et dissimuler ses activités le rend particulièrement dangereux. Les victimes peuvent subir des conséquences telles que des pertes financières et l'usurpation d'identité. S'il est présent sur un appareil, Perseus doit être éliminé immédiatement.

Parmi les autres exemples de logiciels malveillants ciblant les utilisateurs d'Android, on peut citer BeatBanker, Massiv et PromptSpy.

Comment Perseus a-t-il réussi à s'introduire dans mon appareil ?

Les utilisateurs sont principalement infectés par Perseus lorsqu'ils téléchargent de fausses applications IPTV en dehors des boutiques officielles telles que Google Play. Ces applications sont souvent partagées sous forme de fichiers APK, que les utilisateurs installent manuellement, ce qui facilite la propagation du logiciel malveillant.

Une fois installé, il déploie discrètement le logiciel malveillant à l'aide d'un dropper afin de contourner les mesures de sécurité d'Android.

Comment éviter l'installation de logiciels malveillants ?

Téléchargez vos applications et vos logiciels à partir de sources fiables, telles que les sites Web officiels ou les boutiques d'applications, et veillez à ce que votre système d'exploitation et vos applications soient toujours à jour. Évitez de cliquer sur les fenêtres contextuelles, les publicités ou les liens présents sur des sites Web suspects, et n'acceptez pas les demandes de notification provenant de sites non fiables.

Méfiez-vous des e-mails ou des messages inattendus : n'ouvrez pas les liens ou les pièces jointes à moins d'être certain qu'ils ne présentent aucun danger. Utilisez régulièrement un logiciel de sécurité fiable pour analyser votre appareil et détecter ou supprimer les menaces.

Un dropper utilisé pour déployer Perseus (source : threatfabric.com) :

Menu rapide :

• Introduction
• Comment supprimer l'historique de navigation du navigateur Chrome ?
• Comment désactiver les notifications dans le navigateur Chrome ?
• Comment réinitialiser le navigateur Web Chrome ?
• Comment supprimer l'historique de navigation du navigateur Web Firefox ?
• Comment désactiver les notifications dans le navigateur web Firefox ?
• Comment réinitialiser le navigateur web Firefox ?
• Comment désinstaller des applications potentiellement indésirables et/ou malveillantes ?
• Comment démarrer un appareil Android en « mode sans échec » ?
• Comment vérifier la consommation de batterie des différentes applications ?
• Comment vérifier la consommation de données des différentes applications ?
• Comment installer les dernières mises à jour logicielles ?
• Comment réinitialiser le système à ses paramètres d'usine ?
• Comment désactiver les applications disposant de privilèges d'administrateur ?

Supprimer l'historique de navigation du navigateur Chrome :

Appuyez sur le bouton « Menu » (les trois points situés dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'affiche.

Appuyez sur « Effacer les données de navigation », sélectionnez l'onglet « AVANCÉ », choisissez la période et les types de données que vous souhaitez supprimer, puis appuyez sur « Effacer les données ».

[Retour à la Table des Matières]

Désactiver les notifications dans le navigateur Chrome :

Appuyez sur le bouton « Menu » (les trois points situés dans le coin supérieur droit de l'écran) et sélectionnez « Paramètres » dans le menu déroulant qui s'affiche.

Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Paramètres du site », puis appuyez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Notifications », puis appuyez dessus.

Recherchez les sites web qui envoient des notifications via le navigateur, appuyez dessus, puis cliquez sur « Effacer et réinitialiser ». Cela supprimera les autorisations accordées à ces sites web pour l'envoi de notifications. Cependant, si vous visitez à nouveau ce même site, il se peut qu'il vous demande à nouveau l'autorisation. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web sera déplacé vers la section « Bloqués » et ne vous demandera plus l'autorisation).

[Retour à la Table des Matières]

Réinitialiser le navigateur Web Chrome :

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications », puis appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous trouviez l'application « Chrome », sélectionnez-la, puis appuyez sur l'option « Stockage ».

Appuyez sur « GÉRER LE STOCKAGE », puis sur « EFFACER TOUTES LES DONNÉES » et confirmez l'action en appuyant sur « OK ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants et mots de passe enregistrés, l'historique de navigation, les paramètres personnalisés et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Supprimer l'historique de navigation du navigateur Web Firefox :

Appuyez sur le bouton « Menu » (les trois points situés dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'affiche.

Faites défiler vers le bas jusqu'à ce que vous voyiez « Effacer les données privées », puis appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer, puis appuyez sur « EFFACER LES DONNÉES ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans Firefox :

Rendez-vous sur le site web qui envoie des notifications via le navigateur, appuyez sur l'icône située à gauche de la barre d'adresse (cette icône ne sera pas forcément un « Cadenas ») et sélectionnez « Modifier les paramètres du site ».

Dans la fenêtre contextuelle qui s'ouvre, sélectionnez l'option « Notifications » puis appuyez sur « EFFACER ».

[Retour à la Table des Matières]

Réinitialisez le navigateur Web Firefox :

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications », puis appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous trouviez l'application « Firefox », sélectionnez-la, puis appuyez sur l'option « Stockage ».

Appuyez sur « EFFACER LES DONNÉES » et confirmez l'action en appuyant sur « SUPPRIMER ». Notez que la réinitialisation du navigateur entraînera la suppression de toutes les données qui y sont stockées. Cela signifie que tous les identifiants et mots de passe enregistrés, l'historique de navigation, les paramètres personnalisés et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Désinstallez les applications potentiellement indésirables et/ou malveillantes :

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications », puis appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous trouviez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur « Désinstaller ». Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le « Mode sans échec ».

[Retour à la Table des Matières]

Démarrez l'appareil Android en « mode sans échec » :

Le « Mode sans échec » du système d'exploitation Android désactive temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui vous en empêchent lorsque l'appareil fonctionne « normalement »).

Appuyez sur le bouton « Alimentation » et maintenez-le enfoncé jusqu'à ce que l'écran « Éteindre » s'affiche. Appuyez sur l'icône « Mettre hors tension » et maintenez-la enfoncée. Après quelques secondes, l'option « Mode sans échec » apparaîtra et vous pourrez l'activer en redémarrant l'appareil.

[Retour à la Table des Matières]

Vérifiez la consommation de batterie des différentes applications :

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Maintenance de l'appareil », puis appuyez dessus.

Appuyez sur « Batterie » et vérifiez la consommation de chaque application. Les applications légitimes sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une consommation élevée de la batterie peut indiquer que l'application est malveillante.

[Retour à la Table des Matières]

Vérifiez la consommation de données des différentes applications :

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Connexions », puis appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous voyiez « Utilisation des données » et sélectionnez cette option. Tout comme pour la batterie, les applications légitimes sont conçues pour réduire au maximum la consommation de données. Cela signifie qu'une consommation excessive de données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier à la fois l'utilisation des données mobiles et celle des données Wi-Fi.

Si vous constatez qu'une application consomme beaucoup de données alors que vous ne l'utilisez jamais, nous vous recommandons vivement de la désinstaller dès que possible.

[Retour à la Table des Matières]

Installez les dernières mises à jour logicielles :

Il est recommandé de maintenir le logiciel à jour pour garantir la sécurité de votre appareil. Les fabricants publient régulièrement des correctifs de sécurité et des mises à jour Android afin de corriger les erreurs et les failles susceptibles d'être exploitées par des cybercriminels. Un système obsolète est bien plus vulnérable ; c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Mise à jour logicielle », puis appuyez dessus.

Appuyez sur « Télécharger les mises à jour manuellement » et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option « Télécharger les mises à jour automatiquement » : cela permettra au système de vous avertir dès qu'une mise à jour est disponible et/ou de l'installer automatiquement.

[Retour à la Table des Matières]

Réinitialisez le système à ses paramètres d'usine :

Effectuer une « réinitialisation d'usine » est un bon moyen de supprimer toutes les applications indésirables, de rétablir les paramètres par défaut du système et de nettoyer l'appareil dans son ensemble. Cependant, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (enregistrés dans l'appareil, et non sur la carte SIM), les SMS, etc. En d'autres termes, l'appareil sera réinitialisé à son état d'origine.

Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « À propos du téléphone », puis appuyez dessus.

Faites défiler vers le bas jusqu’à ce que vous voyiez « Réinitialiser » et appuyez dessus. Choisissez ensuite l’action que vous souhaitez effectuer :
« Réinitialiser les paramètres » - rétablit tous les paramètres système par défaut ;
« Réinitialiser les paramètres réseau » : rétablit tous les paramètres liés au réseau à leurs valeurs par défaut ;
« Réinitialisation des données d'usine » : réinitialise l'ensemble du système et supprime complètement toutes les données stockées ;

[Retour à la Table des Matières]

Désactivez les applications disposant de privilèges d'administrateur :

Si une application malveillante obtient des privilèges d'administrateur, elle peut causer de graves dommages au système. Pour garantir la sécurité optimale de votre appareil, vous devez toujours vérifier quelles applications disposent de ces privilèges et désactiver celles qui ne devraient pas en avoir.

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Écran de verrouillage et sécurité », puis appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous voyiez « Autres paramètres de sécurité », appuyez dessus, puis appuyez sur « Applications administrateur de l'appareil ».

Identifiez les applications qui ne devraient pas disposer de privilèges d'administrateur, appuyez dessus, puis appuyez sur « DÉSACTIVER ».

Foire aux questions (FAQ)

Mon appareil est infecté par le malware Perseus. Dois-je formater mon périphérique de stockage pour m'en débarrasser ?

La réinitialisation de l'appareil est l'un des moyens les plus efficaces pour supprimer les logiciels malveillants. Cependant, cela efface toutes les données (si elles n'ont pas été sauvegardées). Il est conseillé d'essayer d'abord de supprimer Perseus à l'aide d'un outil tel que Combo Cleaner.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les logiciels malveillants peuvent entraîner de graves problèmes, tels que le vol de données personnelles, la prise de contrôle de votre appareil, l'endommagement ou la suppression de fichiers, ainsi que des pertes financières ou l'usurpation d'identité.

Quel est l'objectif de Perseus ?

L'objectif de Perseus est de dérober des informations sensibles. Il permet aux pirates de surveiller l'appareil, d'enregistrer les saisies de l'utilisateur et d'accéder à des données personnelles telles que des notes, des mots de passe et des messages. Il peut également prendre le contrôle total de l'appareil à distance et dissimuler son activité à la victime.

Comment Perseus a-t-il réussi à s'introduire dans mon appareil ?

Les utilisateurs sont principalement infectés par Perseus lorsqu'ils téléchargent de fausses applications IPTV en dehors des boutiques d'applications officielles telles que Google Play. Ces applications sont généralement distribuées sous forme de fichiers APK. Une fois l'installation terminée, un dropper est utilisé pour installer le logiciel malveillant à l'insu de l'utilisateur et contourner les mesures de sécurité d'Android.

Combo Cleaner me protège-t-il contre les logiciels malveillants ?

Oui, Combo Cleaner est capable de détecter et de supprimer la plupart des infections par des logiciels malveillants connus. Cependant, certains logiciels malveillants sophistiqués peuvent se cacher profondément dans le système. C'est pourquoi il est nécessaire d'effectuer une analyse complète du système pour garantir leur détection et leur suppression.