Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Cheval de Troie bancaire Klopatra

Cheval de Troie bancaire Klopatra

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire
Se traduisent par :

Klopatra, un cheval de Troie bancaire Android jusqu'alors inconnu, a compromis plus de 3 000 appareils, l'Espagne et l'Italie étant les pays les plus touchés. Découvert fin août 2025 par des chercheurs en sécurité informatique, ce logiciel malveillant sophistiqué combine des fonctionnalités de cheval de Troie d'accès à distance (RAT) avec des techniques d'évasion avancées, ciblant les informations financières et permettant des transactions frauduleuses.

Techniques d’attaque sophistiquées et contrôle à distance

Klopatra exploite le réseau virtuel caché (VNC) pour prendre le contrôle à distance des appareils infectés. Il utilise des superpositions dynamiques pour voler les identifiants et exécuter des transactions non autorisées. Contrairement aux logiciels malveillants mobiles classiques, Klopatra intègre des bibliothèques natives et la suite de protection de code Virbox, de qualité commerciale, ce qui rend la détection et l'analyse extrêmement difficiles.

L'analyse de l'infrastructure de commande et de contrôle (C2) du logiciel malveillant et des indices linguistiques indique qu'un groupe criminel turcophone exploite Klopatra comme un botnet privé, plutôt que de le proposer comme un logiciel malveillant en tant que service (MaaS) public. Depuis mars 2025, 40 versions distinctes du cheval de Troie ont été identifiées.

Comment les victimes sont attirées

Klopatra se propage par des tactiques d'ingénierie sociale, incitant les utilisateurs à installer des applications d'injection se faisant passer pour des outils inoffensifs, comme des applications de streaming IPTV. Ces applications exploitent la propension des utilisateurs à installer des logiciels piratés provenant de sources non fiables.

Une fois installé, le dropper demande l'autorisation d'installer des paquets provenant de sources inconnues. Il extrait ensuite la charge utile principale de Klopatra d'un packer JSON intégré. Le malware sollicite également les services d'accessibilité Android, conçus pour aider les utilisateurs en situation de handicap, mais qui peuvent être exploités pour :

  • Lire le contenu de l'écran
  • Enregistrer les frappes au clavier
  • Exécuter des actions de manière autonome

Cela permet aux attaquants de commettre des fraudes financières à l’insu de la victime.

Architecture avancée pour la furtivité et la résilience

Klopatra se distingue par sa conception avancée et résiliente :

  • L'intégration de Virbox protège les logiciels malveillants de l'analyse.
  • Les fonctions principales ont été déplacées de Java vers des bibliothèques natives pour une furtivité accrue.
  • L'obscurcissement du code, l'anti-débogage et les contrôles d'intégrité d'exécution étendus entravent la détection.
  • Les opérateurs bénéficient d'un contrôle granulaire en temps réel via VNC, y compris la possibilité de :
  • Afficher une superposition d'écran noir pour masquer les activités malveillantes.
  • Exécutez des transactions bancaires en secret.
  • Fournissez de manière dynamique de faux écrans de connexion aux applications financières et de crypto-monnaie ciblées.

Le logiciel malveillant désactive également les logiciels antivirus préinstallés et peut augmenter ses autorisations à l'aide des services d'accessibilité pour empêcher leur résiliation.

Exécution de la fraude et timing stratégique

Les opérateurs de Klopatra suivent une séquence d'attaque soigneusement orchestrée :

  • Vérifiez si l'appareil est en charge, si l'écran est éteint et si l'appareil est inactif.
  • Réduisez la luminosité de l’écran à zéro et affichez une superposition noire.
  • Utilisez des codes PIN ou des modèles volés pour accéder aux applications bancaires.
  • Exécutez plusieurs virements bancaires instantanés sans être détectés.

Cette stratégie nocturne garantit que les appareils restent alimentés et sans surveillance, offrant aux attaquants une fenêtre idéale pour opérer pendant que les victimes dorment.

Implications pour le secteur financier

Bien que Klopatra ne réinvente pas les logiciels malveillants mobiles, il représente une avancée significative dans la sophistication des menaces. En adoptant des protections de qualité commerciale et des tactiques furtives, les opérateurs maximisent leur rentabilité et la durée de vie de leurs opérations.

Google a confirmé qu'aucune application infectée n'a été trouvée sur Google Play, mais la dépendance du malware à l'égard des canaux de distribution d'applications tierces et piratées souligne le risque permanent pour les utilisateurs mobiles.

Tendance

Le plus regardé

Chargement...