Android : le malware DroidBot se propage en Europe et cible votre compte en banque !
DroidBot, c'est le nom d'un nouveau logiciel malveillant qui cible les utilisateurs d'Android, dans un seul but : voler les identifiants de connexion aux applications bancaires. Il est particulièrement actif en France, en Italie, en Espagne, au Royaume-Uni et au Portugal. Faisons le point.
Actif depuis juin 2024 selon les chercheurs de Cleafy qui en ont fait la découverte, le malware DroidBot est proposé sous la forme d'un MaaS, c'est-à-dire un Malware-as-a-Service, avec un abonnement proposé à 3 000 dollars par mois.
Il serait déjà très actif en Europe, et en pleine expansion, car il pourrait s'attaquer à l'Amérique Latine, d'après les chercheurs en sécurité. "Des campagnes actives ont été observées dans des pays tels que le Royaume-Uni, l'Italie, la France, l'Espagne et le Portugal.", peut-on lire dans le rapport.
Sur le papier, DroidBot n'est plus sophistiqué que d'autres malwares bancaires, mais il semble particulièrement efficace. L'analyse de l'un de ses botnets a permis d'identifier 776 appareils infectés. Cette analyse met en évidence que le pays le plus affecté est le Royaume-Uni, tandis qu'il y a également eu des victimes en Turquie et en Allemagne.
DroidBot : un Malware-as-a-Service
DroidBot serait d'ailleurs un logiciel malveillant mis en place par des turcophones : "Les informations extraites des échantillons de logiciels malveillants (chaînes de débogage, fichiers de configuration, etc.) nous permettent de supposer que la plupart de leurs développeurs sont turcophones.", explique Cleafy.
Lorsqu'un affilié souscrit à un abonnement pour bénéficier de DroidBot, les pirates lui mettent à disposition bien plus qu'un logiciel malveillant. Il y a un builder de malware, les serveurs C2 (Command & Control) et un panneau d'administration à partir duquel les affiliés peuvent contrôler leurs opérations, récupérer les données volées auprès des cibles et exécuter des actions à distance.
"L'analyse des échantillons de DroidBot a également révélé son infrastructure de logiciels malveillants en tant que service (Malware-as-a-Service - MaaS), avec 17 groupes affiliés distincts identifiés, chacun doté d'un identifiant unique.", précise les chercheurs en sécurité. Il y a donc au moins 17 groupes de cybercriminels affiliés à DroidBot.
Le malware DroidBot utilise diverses techniques pour dérober des informations sensibles. Il capture les frappes au clavier effectuées par l'utilisateur (keylogging), affichent de fausses pages de connexion par-dessus les interfaces légitimes (overlaying) et interceptent les SMS, notamment ceux contenant des codes OTP. De plus, grâce à un module VNC, ils permettent aux attaquants de prendre le contrôle à distance de l'appareil.
Les cybercriminels n'hésitent pas à déguiser ce malware en fausse application, telles que Google Chrome et Google Play Store, ou encore "Android Security" pour tenter de piéger les utilisateurs. "Dans ce cas, le logiciel malveillant est déguisé en applications de sécurité génériques, en services Google ou en applications bancaires courantes.", peut-on lire.
77 applications bancaires ciblées par DroidBot
DroidBot peut voler les identifiants de 77 applications différentes, notamment des applications bancaires ou associées aux cryptomonnaies.
Parmi les applications ciblées, nous pouvons citer : Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Crédit Agricole, Crédit du Nord, ou encore la Bred (Banque Populaire).
La liste complète est disponible sur le site de Cleafy.
Comment assecher les cyber-criminels ? Interdire les cryptomonnaies
Comment arrêter le crime?
Supprimer l’argent
Merci captain obvious