Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Logiciel malveillant pour appareils mobiles DroidBot

Logiciel malveillant pour appareils mobiles DroidBot

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire
Se traduisent par :
Français

Une nouvelle menace bancaire Android inquiétante, connue sous le nom de DroidBot, fait des vagues en ciblant les échanges de cryptomonnaies et les applications bancaires au Royaume-Uni, en Italie, en France, en Espagne et au Portugal. Initialement découvert par des chercheurs en cybersécurité en juin 2024, DroidBot fonctionne comme une plateforme Malware-as-a-Service (MaaS), offrant ses capacités malveillantes aux affiliés pour la modique somme de 3 000 $ par mois.

Malgré l'absence de fonctionnalités révolutionnaires, l'utilisation et les fonctionnalités répandues de DroidBot en font un sujet de préoccupation majeur. Une analyse de l'un de ses botnets a révélé 776 infections uniques dans plusieurs pays européens, dont la Turquie et l'Allemagne. Le malware montre également des signes d'expansion dans de nouvelles régions, comme l'Amérique latine.

Comment DroidBot MaaS donne du pouvoir aux cybercriminels

Les développeurs de DroidBot, qui seraient basés en Turquie, ont créé une plateforme MaaS qui réduit les obstacles pour les cybercriminels qui souhaitent lancer des attaques sophistiquées. Les affiliés ont accès à une suite complète d'outils, notamment :

  • Un générateur de malware permettant de personnaliser les charges utiles pour des cibles spécifiques.
  • Serveurs de commande et de contrôle (C2) pour la gestion des opérations.
  • Un panneau d'administration central pour récupérer les données récoltées et émettre des commandes.

Les chercheurs ont identifié 17 groupes affiliés utilisant DroidBot, qui fonctionnent tous sur une infrastructure C2 partagée avec des identifiants uniques pour suivre les activités. Les affiliés reçoivent une documentation complète, une assistance et des mises à jour régulières via un canal Telegram, créant ainsi un système à faible effort et à forte récompense pour les attaquants.

Discrétion et tromperie : les déguisements de DroidBot

Pour infiltrer les appareils des utilisateurs, DroidBot se fait souvent passer pour des applications légitimes, notamment Google Chrome, le Google Play Store ou même les services de sécurité Android. Une fois installé, il fonctionne comme un cheval de Troie, récoltant des informations sensibles à partir des applications ciblées.

Ses principales fonctionnalités permettent aux attaquants d’exécuter une gamme d’activités malveillantes, telles que :

  • Keylogging : Capture de toutes les frappes saisies sur l'appareil infecté.
  • Attaques par superposition : affichage de faux écrans de connexion sur des interfaces d'application légitimes pour récolter des informations d'identification.
  • Interception de SMS : détournement de messages SMS, notamment ceux contenant des OTP pour les connexions bancaires.
  • Contrôle des appareils à distance : à l'aide d'un module Virtual Network Computing (VNC), les affiliés peuvent visualiser et contrôler à distance les appareils infectés, exécuter des commandes et masquer leurs actions en assombrissant l'écran.

Exploiter les services d’accessibilité

DroidBot s'appuie fortement sur les services d'accessibilité d'Android, une fonctionnalité conçue pour aider les utilisateurs handicapés à surveiller les actions et les glissements ou appuis simulés. Cette mauvaise utilisation souligne l'importance d'examiner attentivement les applications qui demandent des autorisations inhabituelles lors de l'installation. Si une application demande l'accès aux services d'accessibilité sans objectif clair, les utilisateurs doivent immédiatement refuser la demande et désinstaller l'application si nécessaire.

Cibles à forte valeur ajoutée : applications bancaires et cryptographiques

La portée de DroidBot s'étend à 77 applications bancaires et de cryptomonnaie de premier plan. Parmi les cibles notables, on peut citer :

  • Échanges de crypto-monnaies : Binance, KuCoin et Kraken.
  • Applications bancaires : BBVA, Unicredit, Santander, BNP Paribas et Crédit Agricole.
  • Portefeuilles numériques : Metamask.

Ces applications hébergent des données financières sensibles, ce qui en fait des cibles de choix pour les cybercriminels.

Comment rester protégé

Atténuer les menaces telles que DroidBot nécessite une approche proactive :

  • Restez fidèle aux sources officielles : téléchargez uniquement des applications depuis le Google Play Store.
  • Examiner les autorisations : Soyez vigilant quant aux demandes d’autorisation inhabituelles, en particulier celles impliquant les services d’accessibilité.
  • Activer Play Protect : assurez-vous que cette fonctionnalité de sécurité est activée sur votre appareil Android.

En adoptant ces pratiques, les utilisateurs peuvent réduire considérablement leur exposition aux menaces telles que DroidBot et garder le contrôle de leurs données sensibles. Alors que DroidBot continue d'évoluer et d'étendre sa portée, il est essentiel de rester informé et prudent pour se défendre contre ses tactiques trompeuses.

Tendance

Arnaque par courrier électronique Capital One -...

Hameçonnage, Courrier indésirable
Internet est une porte ouverte sur des opportunités infinies, mais il présente également des risques qui exigent une vigilance constante. Les fraudeurs élaborent des stratagèmes de plus en plus sophistiqués, imitant souvent des marques de confiance pour tromper les utilisateurs peu méfiants. Parmi ces stratagèmes, l'arnaque par courrier électronique « Capital One - Votre crédit de récompense...

Arnaque par e-mail concernant les détails de la...

Hameçonnage, Courrier indésirable
À une époque où le courrier électronique est devenu la pierre angulaire de la communication moderne, les cybercriminels continuent de l'exploiter comme un outil de tromperie. L'arnaque par courrier électronique DHL Order Details est une campagne de phishing sophistiquée qui exploite la confiance des utilisateurs envers des services légitimes comme DHL. Il est essentiel de comprendre les...

Le plus regardé

Chargement...