Institutions bancaires, plateformes d’échange de cryptomonnaies, organisations nationales… Au total, 77 « entités » en Europe ont été ciblés par un malware Android appelé « DroidBot ». Découvert en juin, ce cheval de Troie d’accès à distance (RAT) a été développé par des hackers turcs. Ces derniers le proposent ensuite à d’autres cybercriminels sous forme de malware-as-a-service (MaaS), au prix de 3 000 dollars (2 840 euros) par mois. Des conclusions qui proviennent d’un rapport publié le 4 décembre par l’éditeur italien de logiciels de sécurité des réseaux Cleafy.
Un logiciel malveillant abuse des autorisations d’accessibilité d’une application
D’un point de vue technique, le malware usurpe l’identité d’une application populaire, telle que Google Chrome, Google Play Store ou « Android Security ». Il exploite ensuite les services d’accessibilité Android, demandés dès les premières étapes de l’installation. Ces fonctionnalités, initialement conçues pour les personnes malvoyantes, ne peuvent être activées qu’en autorisant l’accès. Outils ensuite utilisés par les cybercriminels pour déployer leur gamme d’outils malveillants.
Le malware « combine les fonctionnalités classiques cachées et superposées du VNC (Remote Computer Control System) avec des fonctionnalités souvent associées aux logiciels espions.explique Cleafy. Il comprend un enregistreur de frappe et des routines de surveillance qui permettent l’interception des interactions des utilisateurs, ce qui en fait un outil puissant de surveillance et de vol d’informations d’identification.
17 groupes cybercriminels détectés
L’équipe de cybersécurité a ainsi identifié des techniques permettant d’intercepter les SMS et de générer de fausses pages de connexion sur des applications bancaires légitimes. De plus, les autorisations accordées aux services d’accessibilité permettent aux cybercriminels d’exécuter des commandes à distance, comme appuyer sur des boutons, naviguer dans des applications et même remplir des formulaires.
Les chercheurs de Cleafy ont détecté 17 groupes cybercriminels affiliés, chacun utilisant des identifiants uniques. Plusieurs de ces acteurs communiquaient via le même serveur basé sur le protocole de messagerie MQTT, ce qui suggère que certains groupes ont mené des sessions de démonstration du malware. En analysant l’un des botnets, la société de cybersécurité a identifié 776 infections uniques, principalement au Royaume-Uni, mais aussi en Allemagne, en France, en Italie et en Turquie. L’Espagne et le Portugal ont également été visés.
Toutes les grandes banques françaises ciblées
La France fait partie des quatre États les plus touchés. Dix grandes banques françaises ont été ciblées : Axa Banque, Banque Populaire, BNP Paribas, Boursorama, Caisse d’Épargne, CIC, Crédit Agricole, Crédit Mutuel Arkéa, LCL et Société Générale. D’autres grandes institutions bancaires ont été ciblées, comme ING, Unicredit, Santander et BBVA. Les échanges de crypto-monnaie Binance, Kraken et OkCoin, entre autres, sont également mentionnés.
Pour se prémunir contre toute tentative d’intrusion, il est recommandé de n’utiliser que l’application légitime du Google Play Store et d’être particulièrement vigilant lors de la demande d’autorisation lors du premier démarrage d’une application. Il est également fortement recommandé d’activer Play Protect depuis les paramètres du Play Store, afin d’effectuer un scan de sécurité sur toutes les applications installées.
Choisi pour toi