Actif depuis le mois de juin 2024 et répondant au nom de DroidBot par les chercheurs qui l'ont découvert fin octobre, ce malware s'en prend aux smartphones Android et cible notamment les coordonnées bancaires des clients d'institutions financières, dont 8 banques françaises.
Alors que la France est touchée en cette fin 2024, par de nombreuses fuites de données d'enseignes, dont la dernière en date, Norauto, a touché près de 80 000 clients, DroidBot, un cheval de Troie actif depuis le mois de juin, mais découvert fin octobre, tape directement notre portefeuille.
Développé par des opérateurs turcs rompus aux techniques d'ingénierie sociale, ce malware s'infiltre avec une précision chirurgicale dans les applications bancaires françaises via nos smartphones Android. Il cible particulièrement huit banques françaises des plus importantes en faisant de nos appareils des espions personnels.
Comment DroidBot détourne-t-il les services d'accessibilité pour infecter vos applications bancaires ?
Le petit secret du malware DroidBot est le détournement des services d'accessibilité Android. Conçu à l'aide du framework B4A, utilisé traditionnellement pour développer des applications natives, ce programme malveillant se fait passer pour des applications de sécurité légitimes ou des services Google. Après avoir aveuglé de confiance la victime, il demande la permission aux services d'accessibilité, comme une demande anodine, mais qui constitue en réalité sa porte d'entrée principale. Une fois ces autorisations obtenues, DroidBot déploie ses armes d'intrusion massive : interception des SMS de validation bancaire, enregistrement des frappes au clavier, création de fausses pages de connexion par-dessus les applications bancaires réelles. Le malware peut même simuler des interactions utilisateur, en exécutant des actions comme si l'utilisateur lui-même les réalisait. Les applications ciblées incluent Boursorama, le Crédit Agricole, LCL, la Banque Postale, la Société Générale, le Crédit Mutuel, la Banque populaire et le CIC soit un solide échantillon représentatif du paysage bancaire français.
MQTT , ce protocole qui permet à DroidBot de rester indétectable
Pour éviter de tomber dans les radars des systèmes de sécurité, DroidBot utilise le protocole MQTT, habituellement réservé aux systèmes IoT et messageries en temps réel. En clair, le malware récupère dynamiquement l'adresse de son serveur de communication puis crypte et encode ses messages pour échapper aux détections classiques. Chaque communication est organisée en rubriques spécifiques, ce qui génère un flux d'informations structuré et difficile à tracer. Le système de chiffrement basé sur XOR et compression zlib rend l'interception des données pratiquement impossible.
Les cybercriminels ont même intégré un générateur que leurs affiliés puissent personnaliser chaque version du malware, et augmenter considérablement sa résilience et sa capacité de propagation. DroidBot fonctionne selon le modèle Malware-as-a-Service, DroidBot cible non seulement la France mais aussi le Royaume-Uni, l'Italie et l'Espagne.
Alors pour vous protéger des conséquences de ces cyberattaques, si vous êtes client des banques ciblées, le mieux et d'user de prudence et de gestes de prévention.Tout d'abord, évitez de télécharger des applications provenant de sources non officielles ou inconnues. Privilégiez les magasins d'applications reconnus comme Google Play ou l'App Store et vérifiez toujours les avis et les permissions demandées avant l'installation. Ensuite, activez l'authentification à deux facteurs (2FA) sur vos comptes bancaires et autres services en ligne pour renforcer leur sécurité. Méfiez-vous des SMS ou des e-mails contenant des liens suspects, surtout s'ils prétendent venir de votre banque : il pourrait s'agir de tentatives de phishing. Assurez-vous que votre mobile Android est à jour avec les derniers correctifs de sécurité. Enfin, signalez immédiatement toute activité suspecte à votre banque et désinstallez les applications douteuses.
17 septembre 2024 à 16h12
Source : Cleafy
