Un malware dangereux appelé « DroidBot » cible actuellement les utilisateurs d’applications bancaires et de crypto-monnaies dans plusieurs pays européens.
Selon les chercheurs de Cleafy, qui ont découvert cette menace en juin 2024, le malware « DroidBot » cible plus de 77 applications différentes au Royaume-Uni, en Italie, en France, en Espagne et au Portugal. DroidBot fonctionne sur un modèle malware-as-a-service (MaaS), offert aux cybercriminels pour 3 000 $ par mois.
Les chercheurs ont déjà identifié 17 groupes affiliés utilisant ce service pour adapter leurs attaques à leurs cibles spécifiques. Bien que le malware ne présente pas de fonctionnalités particulièrement innovantes, l’analyse de l’un de ses botnets a révélé 776 infections uniquesprincipalement au Royaume-Uni, en Italie, en France, en Turquie et en Allemagne.
Lire aussi – Ce malware Android revient dans une version encore plus dangereuse qui peut vider votre compte bancaire
Qu’est-ce que DroidBot, ce nouveau malware qui sévit en France ?
Les développeurs, vraisemblablement d’origine turque, fournissent à leurs clients un ensemble complet d’outils d’attaque, notamment un générateur de malware, des serveurs de commande et de contrôle (C2), ainsi qu’un panneau d’administration central. Les affiliés peuvent ainsi personnaliser DroidBot pour ciblez des applications spécifiques et définissez différents paramètres, notamment la langue et les adresses du serveur C2.
Les logiciels malveillants usurpent généralement l’identité d’applications populaires comme Google Chrome, Google Play Store ou « Android Security » pour tromper les utilisateurs. Une fois installé, il déploie plusieurs fonctionnalités malveillantes : un keylogger, des pages de connexion frauduleuses superposées à des interfaces bancaires légitimes, l’interception de SMS (notamment pour voler des codes d’authentification à deux facteurs), et un module de contrôle à distance permettant aux pirates de prendre le contrôle de l’appareil infecté. .
Les applications ciblées incluent les principaux services bancaires tels que BBVA, Unicredit, Santander, BNP Paribas and Crédit Agricoleainsi que des plateformes de crypto-monnaie comme Binance, KuCoin et Kraken.
Pour se protéger, il est recommandé aux utilisateurs d’Android de téléchargez uniquement des applications depuis le Google Play Storeexaminez attentivement les demandes d’autorisation lors de l’installation et assurez-vous que Play Protect est activé sur leur appareil. Une attention particulière doit être accordée aux applications demandant l’accès aux services d’accessibilité, qui sont souvent exploitées par des logiciels malveillants.
