Un nouveau malware bancaire Android nommé « DroidBot » tente de voler des informations d’identification pour plus de 77 échanges de crypto-monnaie et applications bancaires au Royaume-Uni, en Italie, en France, en Espagne et au Portugal.
Selon les chercheurs de Cleafy qui ont découvert le nouveau malware Android, DroidBot est actif depuis juin 2024 et fonctionne comme une plate-forme MAAS (malware-as-a-service), vendant l’outil pour 3 000/ / mois.
Au moins 17 groupes affiliés ont été identifiés à l’aide de créateurs de logiciels malveillants pour personnaliser leurs charges utiles pour des cibles spécifiques.
Bien que DroidBot manque de fonctionnalités nouvelles ou sophistiquées, l’analyse de l’un de ses botnets a révélé 776 infections uniques au Royaume-Uni, en Italie, en France, en Turquie et en Allemagne, indiquant une activité significative.
En outre, Cleafy dit que le malware semble être en plein développement à l’époque, avec des signes de tentative d’expansion dans de nouvelles régions, y compris l’Amérique latine.
L’opération DroidBot MaaS
Les développeurs de DroidBot, qui semblent être turcs, fournissent aux affiliés tous les outils nécessaires pour mener des attaques. Cela inclut le générateur de logiciels malveillants, les serveurs de commande et de contrôle (C2) et un panneau d’administration central à partir duquel ils peuvent contrôler leurs opérations, récupérer des données volées et émettre des commandes.
Plusieurs affiliés opèrent sur la même infrastructure C2, avec des identifiants uniques attribués à chaque groupe, permettant à Cleafy d’identifier 17 groupes de menaces.
Le générateur de charge utile permet aux affiliés de personnaliser Droid Bot pour cibler des applications spécifiques, utiliser différentes langues et définir d’autres adresses de serveur C2.
Les affiliés ont également accès à une documentation détaillée, à l’assistance des créateurs de logiciels malveillants et à un canal Telegram où des mises à jour sont publiées régulièrement.
Dans l’ensemble, l’opération Droidboot MaaS rend la barrière à l’entrée assez faible pour les cybercriminels inexpérimentés ou peu qualifiés.
Usurper l’identité d’applications populaires
Droidboot est souvent déguisé en Google Chrome, Google Play Store ou « Sécurité Android » pour inciter les utilisateurs à installer l’application malveillante.
Cependant, dans tous les cas, il agit comme un cheval de Troie tentant de voler des informations sensibles à partir d’applications.
Les principales caractéristiques du malware sont:
- Keylogging-Capturing every keystroke entered by the victim.
- Overlay-Display of fake login pages on legitimate banking application interfaces.
- SMS Interception-Hijacks incoming SMS messages, especially those containing one-time passwords (OTP) for banking connections.
- Virtual Network Computing-The VNC module gives affiliates the ability to remotely view and control the infected device, execute commands and dim the screen to hide malicious activity.
Un aspect clé du fonctionnement de DroidBot est l’abus des services d’accessibilité d’Android pour surveiller les actions des utilisateurs et simuler des balayages et des tapotements au nom du logiciel malveillant. Par conséquent, si vous installez une application qui demande des autorisations étranges, comme les Services d’accessibilité, vous devez immédiatement devenir méfiant et refuser la demande.
Parmi les 77 applications de robots Droïdes qui tentent de voler des informations d’identification, citons Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Crédit Agricole, Kraken et Garanti BBVA.
Pour atténuer cette menace, il est conseillé aux utilisateurs d’Android de télécharger uniquement des applications à partir de Google Play, d’examiner les demandes d’autorisation lors de l’installation et de s’assurer que Play Protect est actif sur leurs appareils.