Institutions bancaires, plateformes d'échange de cryptomonnaies, organisations nationales… Au total, 77 “entités” en Europe ont été ciblées par le malware Android baptisé “DroidBot”. Découvert en juin, ce cheval de Troie d'accès à distance (RAT) a été développé par des hackers turcs. Ces derniers le proposent ensuite à d'autres cybercriminels sous la forme d'un malware-as-a-service (MaaS), au prix de 3000 dollars (2840 euros) par mois. Des conclusions qui proviennent d'un rapport publié le 4 décembre par la société italienne de logiciels de sécurité réseau Cleafy.
Le malware abuse des autorisations d'accessibilité d'une application
D'un point de vue technique, le logiciel malveillant se fait passer pour une application populaire, telle que Google Chrome, Google Play Store ou “Android Security”. Il exploite ensuite les services d'accessibilité Android, demandés aux premières étapes de l'installation. Ces fonctionnalités, initialement conçues pour les personnes malvoyantes, ne sont activables qu'en y autorisant l'accès. Des outils ensuite utilisés par les cybercriminels pour déployer leur panoplie d'outils malveillants.
Le malware “combine des fonctionnalités classiques de VNC [système de contrôle à distance d'un ordinateur, NDLR] caché et de superposition avec des fonctionnalités souvent associées aux logiciels espions, explique Cleafy. Il comprend un enregistreur de frappe et des routines de surveillance qui permettent l'interception des interactions des utilisateurs, ce qui en fait un outil puissant de surveillance et de vol d'informations d'identification.”
17 groupes de cybercriminels détectés
L'équipe de cybersécurité a ainsi repéré des techniques d'interception des SMS et de génération de fausses pages de connexion sur les applications bancaires légitimes. En outre, les autorisations accordées aux services d'accessibilité permettent aux cybercriminels d'exécuter des commandes à distances comme l'appui sur des boutons, la navigation sur les applications et même le remplissage de formulaires.
Les chercheurs de Cleafy ont détecté 17 groupes de cybercriminels affiliés, qui utilisent chacun des identifiants uniques. Plusieurs de ces acteurs ont communiqué via le même serveur basé sur le protocole de messagerie MQTT, ce qui laisse à penser que certains groupes ont réalisé des sessions de démo du malware. En analysant l'un des botnets, la société de cybersécurité a recensé 776 infections uniques, principalement au Royaume-Uni, mais aussi en Allemagne, en France, en Italie et en Turquie. L'Espagne et le Portugal ont également été visés.
Toutes les grandes banques françaises prises pour cible
La France figure parmi les quatre États les plus touchés. Dix grandes banques françaises ont été ciblées : Axa Banque, Banque Populaire, BNP Paribas, Boursorama, la Caisse d'Épargne, le CIC, le Crédit Agricole, le Crédit mutuel Arkéa, LCL et la Société Générale. D'autres grandes institutions bancaires ont été prises pour cible, comme ING, Unicredit, Santander et la BBVA. Les plateformes d'échanges de cryptomonnaies Binance, Kraken et OkCoin, entre autres, sont également mentionnées.
Pour se prémunir de toute tentative d'intrusion, il est recommandé de ne passer que par l'application légitime Google Play Store légitime et d'être particulièrement vigilant lors des demandes d'autorisation au premier démarrage d'une application. Il est aussi fortement conseillé d'activer Play Protect depuis les paramètres du Play Store, afin d'effectuer un scan de sécurité sur toutes les applications installées.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
