Date d’écriture : 06/12/2024
Article complet : https://www.usine-digitale.fr/article/cybersecurite-dix-banques-francaises-visees-par-un-malware-deploye-sur-des-appareils-android.N2223791
Article de Yoann Bourgin
Un malware Android, nommé DroidBot, a été découvert ciblant 77 organisations en Europe, dont dix grandes banques françaises. Ce cheval de Troie d’accès à distance (RAT) est utilisé par des cybercriminels pour voler des identifiants d’applications bancaires et de portefeuilles de cryptomonnaies.
Détails de l’attaque et technique utilisée
Le malware DroidBot a été identifié en juin et est devenu accessible sous forme de malware-as-a-service (MaaS) pour 3000 dollars par mois. Il a été développé par des hackers turcs avant d’être vendu à d’autres criminels. Les attaquants utilisent les services d’accessibilité Android pour déployer DroidBot. Ces services sont normalement destinés à aider les utilisateurs malvoyants, mais peuvent être abusés pour accorder un accès privilégié aux cybercriminels.
DroidBot imite des applications populaires comme Google Chrome, Google Play Store ou Android Security pour se camoufler et tromper les utilisateurs. Une fois installé, il combine des fonctionnalités de VNC caché (pour le contrôle à distance de l’appareil), de superposition (création de faux écrans de connexion) et de surveillance (enregistrement des frappes, interception des SMS). Ces fonctionnalités permettent aux attaquants de surveiller les interactions des utilisateurs et de voler les informations d’identification.
Le malware exploite également les autorisations accordées via les services d’accessibilité pour exécuter des commandes à distance. Cela inclut l’appui sur des boutons, la navigation sur les applications, et le remplissage automatique de formulaires.
Contexte et impact en Europe
L’analyse menée par Cleafy, société italienne spécialisée en sécurité réseau, a révélé 17 groupes de cybercriminels utilisant DroidBot, chacun avec des identifiants uniques. Certains groupes se sont montrés suffisamment organisés pour présenter des démonstrations publiques du malware. Cleafy a observé 776 infections uniques principalement au Royaume-Uni, mais aussi en Allemagne, France, Italie, Turquie, Espagne, et Portugal.
Les dix grandes banques françaises ciblées incluent Axa Banque, Banque Populaire, BNP Paribas, Boursorama, Caisse d’Épargne, CIC, Crédit Agricole, Crédit Mutuel Arkéa, LCL, et Société Générale. Ces institutions, ainsi que des plateformes d’échange de cryptomonnaies comme Binance, Kraken, et OkCoin, ont été visées. Le malware DroidBot vise à voler des informations sensibles en accédant aux comptes bancaires et portefeuilles de cryptomonnaies des utilisateurs.
Conseils de prévention
Pour éviter l’intrusion de DroidBot et d’autres malwares similaires, il est recommandé aux utilisateurs de :
- Télécharger uniquement depuis le Google Play Store officiel.
- Vérifier attentivement les demandes d’autorisation lors du premier démarrage d’une application.
- Activer Play Protect depuis les paramètres du Play Store pour scanner toutes les applications installées et détecter tout logiciel malveillant.
Ce malware illustre les défis continus en matière de cybersécurité, en particulier pour les institutions financières, nécessitant une vigilance accrue face aux nouvelles méthodes d’attaque par les cybercriminels.