Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Cheval de Troie bancaire Datzbro

Cheval de Troie bancaire Datzbro

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire
Se traduisent par :

Des chercheurs en cybersécurité ont récemment découvert un cheval de Troie bancaire Android jusqu'alors inconnu, nommé Datzbro, conçu pour effectuer des attaques de prise de contrôle d'appareils (DTO) et des transactions financières frauduleuses. Ce logiciel malveillant cible principalement les utilisateurs âgés, exploitant leur confiance par le biais de campagnes d'ingénierie sociale sur les réseaux sociaux.

Ingénierie sociale via les groupes Facebook

La campagne a été détectée pour la première fois en août 2025, suite à des signalements d'utilisateurs australiens. Les acteurs malveillants géraient des groupes Facebook faisant la promotion de « voyages seniors actifs », ciblant les personnes âgées intéressées par les activités sociales, les événements et les rencontres en personne. Parmi les autres régions touchées figurent Singapour, la Malaisie, le Canada, l'Afrique du Sud et le Royaume-Uni.

Ces groupes Facebook partagent fréquemment du contenu généré par l'IA, prétendant organiser des événements pour les seniors. Si une cible manifeste son intérêt, des attaquants la contactent via Facebook Messenger ou WhatsApp, l'invitant à télécharger un fichier APK depuis un lien frauduleux (par exemple, download.seniorgroupapps.com).

Les faux sites Web font la promotion d'une soi-disant application communautaire, affirmant qu'elle permettrait aux personnes âgées de :

  • Inscrivez-vous aux événements et activités.
  • Connectez-vous avec d’autres membres du groupe.
  • Suivre les horaires à venir.

Certains sites contiennent même des liens d'espace réservé pour une application iOS, ce qui suggère que les attaquants visent à cibler à la fois les utilisateurs Android et iOS, en distribuant des applications TestFlight pour iOS dans le but de tromper les victimes.

Comment Datzbro infecte les appareils

Lorsqu'une victime télécharge l'application Android, elle :

  • Installe le logiciel malveillant directement sur l'appareil, ou
  • Déploie un dropper créé avec Zombinder, un service de liaison APK qui contourne les restrictions de sécurité sur Android 13 et versions ultérieures.

Plusieurs applications malveillantes ont été identifiées distribuant Datzbro, notamment :

  • Groupe senior (twzlibwr.rlrkvsdw.bcfwgozi)
  • Années animées (orgLivelyYears.browses646)
  • ActiveSenior (com.forest481.security)
  • Vague de danse (inedpnok.kfxuvnie.mggfqzhl)
  • 作业帮 (io.mobile.Itool)
  • 麻豆传媒 (fsxhibqhbh.hlyzqkd.aois)
  • 麻豆传媒 (mobi.audio.aassistant)
  • 谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)
  • MT管理器 (varuhphk.vadneozj.tltldo)
  • MT管理器 (spvojpr.bkkhxobj.twfwf)
  • 大麦 (mnamrdrefa.edldylo.zish)
  • MT管理器 (io.red.studio.tracker)

Capacités et menaces financières

Datzbro possède un large éventail de fonctionnalités de logiciels espions et de fraude financière, notamment :

  • Enregistrement audio et capture de photos.
  • Accéder aux fichiers et aux photos.
  • Réalisation d'attaques par superposition, d'enregistrement de frappe et de contrôle d'appareils à distance.
  • Utiliser les services d'accessibilité Android pour effectuer des actions automatisées au nom de la victime.

Une fonctionnalité remarquable est son mode de contrôle à distance schématique, qui envoie aux attaquants des informations détaillées sur tous les éléments de l'écran, leur position et leur contenu. Cela leur permet de reproduire l'interface et de contrôler entièrement l'appareil à distance.

De plus, Datzbro peut :

  • Affichez des superpositions semi-transparentes avec du texte personnalisé pour masquer les activités malveillantes.
  • Volez les codes PIN et les mots de passe de l'écran de verrouillage de l'appareil pour Alipay et WeChat.
  • Analysez les journaux d'événements d'accessibilité pour les applications bancaires ou de portefeuille de crypto-monnaie et extrayez les informations d'identification.

Ces fonctions mettent en évidence l'accent mis par le logiciel malveillant sur le gain financier, transformant ce qui commence comme un logiciel espion en une menace sophistiquée pour voler des informations bancaires sensibles.

Infrastructure d’attribution et de commandement et de contrôle

L'analyse suggère que Datzbro est lié à un groupe malveillant sinophone, comme en témoignent les chaînes de débogage et de journalisation en chinois présentes dans le code source du malware. Contrairement à de nombreuses familles de malwares qui s'appuient sur des panneaux de commande en ligne, Datzbro se connecte à une application de bureau en chinois pour les opérations de commande et de contrôle.

Une version compilée de cette application C2 a été divulguée dans un référentiel de virus public, indiquant que le malware peut désormais être librement distribué parmi les cybercriminels, augmentant ainsi sa portée potentielle.

Implications pour la sécurité mobile

La découverte de Datzbro illustre l'évolution des menaces mobiles, notamment celles qui exploitent l'ingénierie sociale pour cibler les populations vulnérables. En ciblant les seniors et en exploitant des événements Facebook apparemment anodins, les attaquants peuvent transformer une simple interaction sociale en piratage d'appareils, vol d'identifiants et fraude financière.

Cette campagne souligne l’importance de la vigilance en matière de sécurité mobile, notamment pour les utilisateurs âgés qui peuvent être ciblés via les réseaux sociaux basés sur la confiance.

Tendance

Le plus regardé

Chargement...