Un nouveau malware bancaire menace les utilisateurs de smartphones Android. Les chercheurs de Cleafy ont en effet décelé la présence d’un nouveau virus, baptisé DroidBot, à la fin du mois d’octobre 2024. Selon l’enquête menée par les experts de la société milanaise spécialisée dans la lutte contre la fraude en ligne, DroidBot est actif depuis juin 2024.
Le logiciel malveillant est commercialisé par des pirates turcs dans le cadre d’un abonnement de type « Malware-as-a-Service » (MaaS). Ce type d’offre permet aux cybercriminels de payer pour utiliser un logiciel malveillant en échange d’un accès temporaire ou limité. En l’occurrence, le malware est accessible pour la somme de 3 000 dollars par mois. Au moins 17 gangs se sont affiliés à DroidBot pour s’en servir dans leurs attaques.
À lire aussi : « Infection massive » de Windows – le malware SteelFox fait tout pour voler votre carte de crédit
Les 8 banques de France dans le viseur de DroidBot
Aux dires de Cleafy, DroiBot est conçu pour s’attaquer aux utilisateurs de « 77 entités distinctes », dont des banques, des institutions financières ou des plateformes d’échange de cryptomonnaies. Citons des exchanges comme Binance, KuCoin, Kraken, OkCoin ou un wallet comme Kraken. Parmi les autres cibles du virus, on trouve plusieurs banques françaises :
- Boursorama
- BNP Paribas
- Crédit Agricole
- Axa Banque
- la Caisse d’Épargne
- la Banque populaire
- ING
- la Société Générale
Si vous faites partie des clients de ces banques, on vous encourage à redoubler de prudence. Les chercheurs ont d’ailleurs décelé plusieurs attaques reposant sur DroidBot en France. En fait, Cleafy a compté 776 intrusions au Royaume-Uni, en Italie, en France, en Turquie et en Allemagne. L’Espagne et le Portugal complètent la liste des cibles privilégiées du malware. Quatre nations, dont la France, concentrent l’essentiel des attaques.
Face à l’inquiétude de nombreux utilisateurs concernant ce malware, les banques françaises ont décidé de réagir. C’est donc la FBF, Fédération française bancaire qui a publié un communiqué ce samedi 7 décembre. L’organisme insiste sur le fait que « qu’il ne s’agit pas d’une cyberattaque contre les banques françaises ou leurs applications, mais d’un malware qui est installé par des utilisateurs sur leurs téléphones sans que cela n’ai un rapport avec une banque ». La FBF rappelle que la sécurité est un « enjeu majeur » pour les banques et que celles-ci « développent des moyens extrêmement performants pour contrer les méthodes de fraude ».
Le mode opératoire de DroidBot
Pour piller le compte bancaire de ses cibles, DroidBot va d’abord se faire passer pour une des applications déjà installées sur leur smartphone. En général, DroidBot se fait passer Google Chrome ou le Google Play Store pour berner les utilisateurs. Parfois, le virus prend la forme d’une application intitulée Android Security. Cette tactique permet de convaincre les victimes de télécharger le malware depuis des sites web frauduleux ou des fichiers APK.
Une fois que c’est fait, DroidBot va tout faire pour voler vos données sensibles. Par exemple, le virus va enregistrer tous les mots tapés sur le clavier et intercepter les SMS à la recherche de codes de connexion. Surtout, il va afficher une fenêtre malveillante factice au-dessus d’une application bancaire ou financière. Plus largement, DroiBot peut permettre aux cybercriminels de visualiser tout ce qui se trouve sur votre écran. Toutes ces astuces permettent de dérober vos identifiants et vos mots de passe. Avec ces données, il est aisé de pénétrer sur votre compte pour réaliser des virements à votre insu.
En miroir de nombreux virus Android, DroidBot exploite les services d’accessibilité d’Android. Conçus pour aider les personnes malvoyantes à utiliser leur appareil, ces services sont détournés par de nombreuses applications malveillantes. C’est grâce aux accès accordés par la victime que le virus « permet le contrôle à distance de l’appareil infecté ». Les pirates peuvent ainsi simuler « les interactions des utilisateurs telles que le fait d’appuyer sur des boutons, de remplir des formulaires et de naviguer dans les applications, permettant ainsi aux attaquants d’utiliser l’appareil comme s’ils étaient physiquement présents ».
Les développeurs de DroidBot mettent à disposition de leur clientèle un panneau d’administration. Par le biais de celui-ci, les pirates peuvent organiser leurs attaques et personnaliser DroidBot pour cibler des applications bien précises ou utiliser différentes langues en fonction des cibles. Ils offrent aussi une assistance sur Telegram et des mises à jour régulières. Cleafy pointe du doigt « la sophistication et l’adaptabilité de DroidBot ».
À lire aussi : L’arnaque à la livraison de colis revient en force en France avec 20 sites frauduleux
Un virus en évolution
Les chercheurs affirment que le virus « est toujours en développement actif ». Dans un avenir proche, il est probable que le malware bénéficie de nouvelles fonctionnalités ou parviennent à cibler d’autres banques. Par ailleurs, des indices laissent penser que les développeurs ont l’intention de viser d’autres régions du monde, à commencer par l’Amérique latine. Cleafy indique qu’il y a des « efforts continus pour améliorer l’efficacité du logiciel malveillant et l’adapter à des environnements spécifiques ». Nous ne sommes pas au bout de nos surprises.
Pour éviter de tomber dans le piège tendu par DroidBot, on vous recommande donc d’éviter à tout prix l’installation d’applications en dehors du Play Store. Aux dernières nouvelles, le virus n’est en effet pas parvenu à se glisser sur la plateforme de Google.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cleafy
