Un dangereux logiciel malveillant baptisé « DroidBot » cible actuellement les utilisateurs d'applications bancaires et de cryptomonnaies dans plusieurs pays européens.

Selon les chercheurs de Cleafy, qui ont découvert cette menace en juin 2024, le malware « DroidBot » vise plus de 77 applications différentes au Royaume-Uni, en Italie, en France, en Espagne et au Portugal. DroidBot fonctionne sur un modèle de malware-en-tant-que-service (MaaS), proposé aux cybercriminels pour 3 000 dollars par mois.

Les chercheurs ont déjà identifié 17 groupes d'affiliés utilisant ce service pour personnaliser leurs attaques selon leurs cibles spécifiques. Bien que le malware ne présente pas de fonctionnalités particulièrement innovantes, l'analyse d'un de ses botnets a révélé 776 infections uniques, principalement au Royaume-Uni, en Italie, en France, en Turquie et en Allemagne.

Lire également – Ce malware Android revient dans une version encore plus dangereuse qui peut vider votre compte bancaire

Qu’est-ce que DroidBot, ce nouveau malware qui sévit en France ?

Les développeurs, présumés d'origine turque, fournissent à leurs clients un ensemble complet d'outils d'attaque, comprenant un générateur de malware, des serveurs de commande et contrôle (C2), ainsi qu'un panneau d'administration central. Les affiliés peuvent ainsi personnaliser DroidBot pour cibler des applications spécifiques et définir différents paramètres, notamment la langue et les adresses des serveurs C2.

Le malware se fait généralement passer pour des applications populaires comme Google Chrome, Google Play Store ou « Android Security » pour tromper les utilisateurs. Une fois installé, il déploie plusieurs fonctionnalités malveillantes : un enregistreur de frappes, des pages de connexion frauduleuses superposées aux interfaces bancaires légitimes, l'interception des SMS (notamment pour voler les codes d'authentification à deux facteurs), et un module de contrôle à distance permettant aux pirates de prendre le contrôle de l'appareil infecté.

Parmi les applications ciblées figurent des services bancaires majeurs comme BBVA, Unicredit, Santander, BNP Paribas et Crédit Agricole, ainsi que des plateformes de cryptomonnaies comme Binance, KuCoin et Kraken.

Pour se protéger, il est recommandé aux utilisateurs Android de télécharger uniquement des applications depuis le Google Play Store, d'examiner attentivement les demandes d'autorisation lors de l'installation, et de s'assurer que Play Protect est activé sur leur appareil. Une attention particulière doit être portée aux applications demandant l'accès aux services d'accessibilité, souvent utilisés de manière abusive par les logiciels malveillants.